老树开花利用IIS写权限漏洞ServU提权拿服务器.docx

老树开花-利用IIS写权限漏洞+Serv-U提权拿服务器

2011年03月31日星期四15:43

声明：本文没有任何技术含量，99.99%的内容是炒冷饭。写这篇文章的目的在于：提醒大家不要忘了那些曾经很黄很暴力的漏洞，老洞常温，拿站很稳。o(∩_∩)o

第一大步：获取WebShell

其实，一开始并没有准备搞渗透，只不过是想用IISPUTScanner扫几台网络摄像头玩玩。正应了那句老话：有心栽花花不开，无心插柳柳成荫。Net Camera没找到，倒是意外地发现了2台有IIS写权限漏洞的服务器。怎么办？纠结，“整“！！！

试了下IISIISPUTScanner自带的上传功能，结果挂了！这时候千万不要放弃，经验告诉我，IISIISPUTScanner的上传功能很不给力，完全是鸡肋嘛！

换抢，试试老兵的IIS写权限利用工具。尝试PUT一个后缀为txt的ASP大马，返回信息：201Created，运气很好，创建成功。有的玩了:-)

不过不要高兴的太早，马儿目前还是以TXT的格式躺在服务器里。要使它跑起来，就要用到MOVE方法(类似Linux的重命名操作)将其转换成ASP格式，当然前提是服务器支持ASP，否则一切活动到此为止吧！

RP大爆发！居然成功了，默认地址是/shell.asp。如果MOVE方法不行，可以试试Copy方法，做事不要一根筋嘛！

第二大步：提权

老规矩，执行CMD命令。要是没CMD执行权限，找个可写目录上传下就O了。我这里可以直接执行，一切都很顺利。正因为如此，开篇才说本文没任何技术含量。NetStat-an，神马情况，43958？Serv_U。笑吧！提权在握。。。

果断点击Serv-U提权，啥命令也没改，使用默认Seru_U用户名和密码登录。这么垃圾的管理员，肯定不会去改动滴。

接下来用同样的方法，执行了一个开3389的批处理，这种东西

网上满天飞。更棒的是，2003开3389后不用重启，直接登录。

至此，这台服务器的大门就向我们洞开了，进去随便XX00。不过还是建议，不要搞破坏，在道上混，早晚是要还的。

第三步：抓HASH，补漏洞

虽然使用克隆帐号、RootKit的方式能够骗过一些菜鸟管理员，

但是个人还是觉得抓Hash比较安全。再怎么说，还是原装的好。

登录3389的时候，注意勾选下选项-本地资源-磁盘驱动器，这样就免去了用FTP或其他方式上传Pwdump的麻烦。

给大家推荐个网站：/webcrack.php，破解MD5、LMHash的成功率很高。貌似破解了这个由数字+字母组成的14位密码，只用了1min不到，牛吧？

记得把先前的hacker账户删除了，还加个$，真是自欺欺人。如

果不怕麻烦，顺便修改下3389的端口号（比如说是瑞星的端口，只要不被占用就可以了），这样就更容易骗过菜鸟管理员。删日志就没必要了，完全无视！这种管理员不是菜鸟一只，就是懒汉一个。

写权限漏洞补起来很简单，把所有站点属性中的写入选项勾去掉，见下图：

第四大步：完！