好不容易攻下一台Windows2000/2003 IIS服務器,你一定會想,怎樣才能長期占有這個“肉雞”呢?聰明的你肯定會想到留後門這個法子。
對Windows系列下的Web服務器來說,筆者覺得最好的後門莫過於通過80端口安置後門,因為既然要對外提供Web服務,管理員總不會把80端口給屏蔽了吧。下面讓我們來看看怎麼設置IIS後門。
一 GUI方式設置
如果你能通過GUI(圖形界面)方式管理肉雞的話(通過 3389端口的Windows 終端服務、4899端口的Radmin服務、Pcanywhere、VNC、DameWare等GUI方式的遠程管理軟件),那就最簡單不過了。可以通過如下方式建立一個隱蔽的後門:
1.先在Web根目錄下建立一個子目錄shell,然後打開“Internet信息服務”管理器,在shell目錄下新建一個指向C:\WinNT\system32的虛擬目錄door,然後刪除Web根目錄下的shell目錄,這樣在IIS管理器中就看不到shell目錄了,也看不到door這個虛擬目錄了(這是IIS顯示目錄的一個Bug,實際上這個虛擬目錄仍然存在)。
通過浏覽器訪問不到shell這個路徑,但是依然可以訪問到shell/door這個路徑。不過這並沒有完,我們需要在IIS管理器中對虛擬目錄door的權限做進一步設置。TW.winGWit.COm
2.在door屬性中,我們設置本地路徑為“C:\WinNT\System32”(見圖),在“腳本資源訪問”、“讀取”、“寫入”、“目錄浏覽”復選框前打鉤,把“日志訪問”和“索引此資源”復選框前的鉤去掉,在“執行許可”中選擇“腳本和可執行程序”,“應用程序保護”選擇“低 (IIS進程)”。
好了,現在我們就有了一個功能強大而且不會留下任何痕跡的Web Shell了(還記得Unicode漏洞嗎?在地址欄中輸入http:// 219.***.18.63 /shell/door/cmd.exe?/c+dir c:\ 看看)。
二 命令行方式設置
有人可能會問了,如果只有命令行下的shell,能不能設置IIS後門呢?答案是肯定的。這裡需要用一些系統自帶的工具。IIS服務器安裝時會自動在C:\Inetpub\AdminScript下安裝一些用來配置IIS的腳本,如adsutil.vbs、chaccess.vbs、mkwebdir.vbs、disptree.vbs等,我們可以通過這些腳本來修改Web目錄的權限。
在命令行shell下,輸入“cscript.exe adsutil.vbs enum w3svc/1/root”,看看Web服務器的配置。從中選一個虛擬目錄test,給它賦予可寫權限:“chaccess -a w3svc/1/ROOT/test +write”,按照如下的命令再給它賦予腳本和可執行程序的執行權限:“chaccess -a w3svc/1/ROOT/test +script +execute”。
三 利用可寫可執行權限目錄
上面介紹了兩種方法獲得IIS服務器上的一個可寫的目錄,但怎樣怎麼利用呢?
利用IIS後門的方法有很多種,這裡只討論如何利用一個有可寫可執行權限的目錄的問題。一般的思路是遠程提交數據,高手都喜歡用瑞士軍刀——Netcat,不過這個是命令行下的工具,新手用起來可能不習慣。下面介紹一個桂林老兵發布的作品(下載地址:http://www.gxgl.com/?actio
n=soft&module=show&id=12)。
數據包格式有OPTIONS、GET、HEAD、DELETE、PUT、POST等多種。我們可以用PUT方法從本地選一個文件上傳到服務器上,然後用MOVE方法給它改名為.exe可執行程序或.asp可執行腳本。更詳細的使用方法可以參看程序附帶的Readme文檔,這裡就不再贅述了。
From:http://tw.wingwit.com/Article/Network/201309/1068.html