首页 › 电脑病毒论坛 › “一种少见的跨目录写webshell方法 ”的文章的分析与见解

小桂哥 發表於 2012-5-21 09:10:04

“一种少见的跨目录写webshell方法 ”的文章的分析与见解

<p>老C(16*65) 2:55:38<br />一种少见的跨目录写webshell方法<br />老C(16*65) 2:55:50<br />谁对这个跨目录写马原理了解 ？<br />老C(16*65) 2:56:10<br />我试了几个iis账户都不行。<br />YoCo (私聊不回)(36*37) 2:56:12<br />跨什么目录<br />老C(16*65) 2:56:31<br />就是虚拟主机跨目录写shell的。<br />YoCo (私聊不回)(36*37) 2:56:31<br />wscript直接拷贝的吧<br />老C(16*65) 2:56:36<br />不是了。<br />老C(16*65) 2:56:42<br />组件都被删了。<br />老C(16*65) 2:56:49<br />利用iis的账户什么的。<br />YoCo (私聊不回)(36*37) 2:56:52<br />那就是本来目录设置就不严<br />老C(16*65) 2:57:23<br />可能。<br />老C(16*65) 2:57:35<br />IIS SPY可以查看到目标站的路径和IIS帐号密码<br />YoCo (私聊不回)(36*37) 2:58:06<br />iis账号的密码？扯淡呢吧<br />老C(16*65) 2:58:06<br />所以我必须找一个everyone有访问权限的站，IIS SPY看了下，用默认的IIS帐户的站也挺多，就找了一个可以跨过去，也可以写马，那么目标站的帐户应该也可以访问这个站吧。于是传上BS的马到那个站，访问，登陆成功，出现BS马的登陆界面<br />老C(16*65) 2:58:42<br />什么叫iis的默认的账户 ？<br />YoCo (私聊不回)(36*37) 2:59:02<br />要是能看到密码，那是system32目录权限给放水了<br />老C(16*65) 2:59:10<br />老C(16*65) 2:59:39<br />已经搞定了同服的一个shell<br />老C(16*65) 2:59:53<br />现在要向目标站写马<br />老C(16*65) 3:00:12<br />我利用这个方法<br />YoCo (私聊不回)(36*37) 3:00:16<br />用iis？<br />老C(16*65) 3:00:24<br />嗯<br />YoCo (私聊不回)(36*37) 3:00:31<br />果然奇葩<br />老C(16*65) 3:00:31<br />一种少见的跨目录写webshell方法<br />老C(16*65) 3:00:42<br />就是这篇文章了。<br />YoCo (私聊不回)(36*37) 3:01:08<br />恩，ms12-020还有一个秒杀直接添加管理员账户的exp<br />老C(16*65) 3:01:23<br />命令组件被删。<br />YoCo (私聊不回)(36*37) 3:01:43<br />目录设置权限不严才会被跨目录，不然就溢出<br />YoCo (私聊不回)(36*37) 3:01:59<br />超越神的存在，没有那回事<br />老C(16*65) 3:02:16<br />好吧，有时间去看看这个文章了。<br />老C(16*65) 3:02:21<br />https://www.jb51.net/Article/201106/93922.html<br />老C(16*65) 3:02:31<br />我没弄清楚到底怎么回事<br />YoCo (私聊不回)(36*37) 3:02:55<br />这种垃圾黑客站全转载（www.jb51.net注释：上面的网址不是本站哈，这里只是替换掉的），站长自己懂不懂还是个未知数，你也信<br />YoCo (私聊不回)(36*37) 3:03:00<br />他那个明摆着wscript可用<br />老C(16*65) 3:03:12<br />她这个可用。<br />老C(16*65) 3:03:21<br />但是我现在的不可用。<br />老C(16*65) 3:03:40<br />他和wscript没关系吧<br />YoCo (私聊不回)(36*37) 3:04:03<br />wscript可用，inetsrv文件夹放水，都是一样的行为<br />YoCo (私聊不回)(36*37) 3:04:19<br />inetsrv文件夹权限放水就能读到iis账户密码了<br />老C(16*65) 3:04:26<br />- -<br />MeGaMaX(1247203561) 3:03:15<br />macafee<br />MeGaMaX(1247203561) 3:03:19<br />0day<br />YoCo (私聊不回)(36*37) 3:04:50<br />同样的，有些iis服务器装了mysql或者mssql，也能用root或者sa读iis配置<br />YoCo (私聊不回)(36*37) 3:05:20<br />&ldquo;echo到目标站根目录一句话的批处理&rdquo;<br />老C(16*65) 3:05:40<br />- - cmd不行<br />YoCo (私聊不回)(36*37) 3:05:40<br />天真，echo要是能用，我还copy直接到根目录呢<br />YoCo (私聊不回)(36*37) 3:06:17<br />我只能说，奇葩<br />YoCo (私聊不回)(36*37) 3:07:02<br />要是装了麦咖啡，你连想都不用想了<br />老C(16*65) 3:08:10<br />我觉的他这个原理就是利用目标站的iis访问权限，来对我们现在有shell这个站进行访问，可以访问的话 ，就转到了目标站的路径下。<br />老C(16*65) 3:08:25<br />好像是这样<br />老C(16*65) 3:08:35<br />但是再看看文章上面说的。<br />老C(16*65) 3:08:42<br />感觉又不是<br />老C(16*65) 3:08:43<br />- -<br />老C(16*65) 3:08:48<br />不懂<br />YoCo (私聊不回)(36*37) 3:11:06<br />不太现实<br />YoCo (私聊不回)(36*37) 3:11:39<br />刚才就说了，直接wscript拷贝的<br />老C(16*65) 3:11:53<br />不是吧<br />老C(16*65) 3:12:10<br />那按你说的，这个文章完全是瞎说了 ？<br />.......<br />目测了下 文章原文 简单分析了下<br />IIS默认配置中不存在EVERYOEN权限<br />除非管理员SB到把WEB目录放在%WINDIR%TEMP内<br />因为IIS配置除了这个目录需要一定给与EVERYONE写入权限外<br />其他的目录均可自行配置权限<br />我想管理员绝对不会SB到把IIS下的WEB目录开启一个everyone<br />所以大胆下一个结论他先调转一个系统默认的IUSR_SERVER权限<br />而目标访问权限也是这个默认的IUSER_SERVER权限<br />所以经过第一次跳转后 可以访问到了目标站的WEB<br />随后我看到文章的图片 确定跟我推想的一样<br />Uing07说文章不是YY就是人品好到爆的那种...没通用性<br />开始没看图片<br />后来看下下图片感觉写这篇文章的人<br />虽然出于好心分享<br />但是由于SYSTEM权限归属可能不是很了解<br />所以误导了别人<br />根据图片所示明摆着就是IUSR_SERVER权限<br />还有IISSPY 直接任何目录均可以直接写入任何WEB下的数据<br />所以就有了这篇文章 写下我的分析<br />根据我目测分析还原文章整个过程<br />首先写环境<br />WEB系统默认访问权限账户为IUSR_18*** 暂且成为TB（跳转B）<br />菊花A 访问权限为IUSR_WWW<br />同时系统默认IUSR_18***权限并未删除<br />目标C 访问权限为IUSR_MANAGE<br />同时系统默认IUSR_18***权限并未删除<br />菊花A往目标C写数据<br />由于IUSR权限不同无法跳转跨目录<br />但是由于同时拥有IUSR_18***权限我断定写入数据成功了<br />此WEBSHELL继承权限应该是IUSR_18***和IUSR_WWW<br />因为菊花A没有IUSR_MANAGE<br />但是WEBSHELL是菊花A 提交过去的<br />所以默认访问权限是菊花A的IUSR_18***<br />而目标C访问权限是IUSR_MANAGE<br />所以目标C访问WEBSHELL时并无此权限<br />所以写入成功后并没有权限访问<br />也就是作者说的没有跨目录成功<br />但是SB管理只是给WEB添加各种访问用户的权限<br />并未删除IUSR_18***这个系统默认的权限<br />所以菊花A可以先给拥有默认IUSR_18***权限的TB写入数据<br />这过程完全无障碍 因为同样拥有IUSR_18***<br />这次写入的WEBSHELL还是同时继承IUSR_18***权限和IUSR_WWW权限<br />在由TB访问此文件 因为TB默认访问权限为IUSR_18***<br />所以TB可以访问该WEBSHELL<br />在由TB写入到目标C<br />同时权限继承IUSR_18*** + IUSR_MANAG +IUSR_WWW<br />即使服务器不POST的数据不继承权限<br />但由于TB提交过去的 所以此WEBSHELL此权限是IUSR_18***<br />目标C访问权限是IUSR_MANAGE + IUSR_18***<br />SO访问成功<br />整个过程应该是这样的<br />写的我都觉得麻烦<br />在补充<br />菊花A 访问权限IUSR_WWW （同时拥有IUSR_18***）<br />跳转B 访问权限IUSR_18***<br />目标C 访问权限IUSR_MANAGE （同时拥有IUSR_18***）<br />菊花A写入目标C的WEBSHELL的权限用的是IUSR_18***<br />虽然目标C拥有IUSR_18***的访问权限<br />但是由于是菊花A提交继承 所以WEBSHELL访问的权限应该是菊花A的IUSR_WWW + IUSR_18***<br />目标C默认访问权限是IUSR_MANAGE + IUSR_18***<br />没有IUSR_WWW此权限 所以访问失败 www.jb51.net<br />这里输入IUSR_WWW帐号密码还可以可以访问的<br />菊花A写入跳转B的WEBSHELL 用到权限同样是IUSR_18***<br />WEBSHELL的访问权限IUSR_WWW + IUSR_18***<br />但是跳转B的默认访问权限为IUSR_18***<br />所以直接无视IUSR_WWW就可以访问<br />在由跳转B写入目标C<br />只继承IUSR_18***<br />而目标C访问权限IUSR_MANAGE + IUSR_18***<br />所以成功</p>

查看完整版本: “一种少见的跨目录写webshell方法 ”的文章的分析与见解