“一种少见的跨目录写webshell方法 ”的文章的分析与见解
程序员文章站
2022-09-30 12:42:09
以下为网络安全的群聊信息,都是高手啊.... 12-05-21...
老c(16*65) 2:55:38
一种少见的跨目录写webshell方法
老c(16*65) 2:55:50
谁对这个跨目录写马原理了解 ?
老c(16*65) 2:56:10
我试了几个iis账户都不行。
yoco (私聊不回)(36*37) 2:56:12
跨什么目录
老c(16*65) 2:56:31
就是虚拟主机跨目录写shell的。
yoco (私聊不回)(36*37) 2:56:31
wscript直接拷贝的吧
老c(16*65) 2:56:36
不是了。
老c(16*65) 2:56:42
组件都被删了。
老c(16*65) 2:56:49
利用iis的账户什么的。
yoco (私聊不回)(36*37) 2:56:52
那就是本来目录设置就不严
老c(16*65) 2:57:23
可能。
老c(16*65) 2:57:35
iis spy可以查看到目标站的路径和iis帐号密码
yoco (私聊不回)(36*37) 2:58:06
iis账号的密码?扯淡呢吧
老c(16*65) 2:58:06
所以我必须找一个everyone有访问权限的站,iis spy看了下,用默认的iis帐户的站也挺多,就找了一个可以跨过去,也可以写马,那么目标站的帐户应该也可以访问这个站吧。于是传上bs的马到那个站,访问,登陆成功,出现bs马的登陆界面
老c(16*65) 2:58:42
什么叫iis的默认的账户 ?
yoco (私聊不回)(36*37) 2:59:02
要是能看到密码,那是system32目录权限给放水了
老c(16*65) 2:59:10
老c(16*65) 2:59:39
色情站。已经搞定了同服的一个shell
老c(16*65) 2:59:53
现在要向目标站写马
老c(16*65) 3:00:12
我利用这个方法
yoco (私聊不回)(36*37) 3:00:16
黄站用iis?
老c(16*65) 3:00:24
嗯
yoco (私聊不回)(36*37) 3:00:31
果然奇葩
老c(16*65) 3:00:31
一种少见的跨目录写webshell方法
老c(16*65) 3:00:42
就是这篇文章了。
yoco (私聊不回)(36*37) 3:01:08
恩,ms12-020还有一个秒杀直接添加管理员账户的exp
老c(16*65) 3:01:23
命令组件被删。
yoco (私聊不回)(36*37) 3:01:43
目录设置权限不严才会被跨目录,不然就溢出
yoco (私聊不回)(36*37) 3:01:59
超越神的存在,没有那回事
老c(16*65) 3:02:16
好吧,有时间去看看这个文章了。
老c(16*65) 3:02:21
https://www.jb51.net/article/201106/93922.html
老c(16*65) 3:02:31
我没弄清楚到底怎么回事
yoco (私聊不回)(36*37) 3:02:55
这种垃圾黑客站全转载(www.jb51.net注释:上面的网址不是本站哈,这里只是替换掉的),站长自己懂不懂还是个未知数,你也信
yoco (私聊不回)(36*37) 3:03:00
他那个明摆着wscript可用
老c(16*65) 3:03:12
她这个可用。
老c(16*65) 3:03:21
但是我现在的不可用。
老c(16*65) 3:03:40
他和wscript没关系吧
yoco (私聊不回)(36*37) 3:04:03
wscript可用,inetsrv文件夹放水,都是一样的傻逼行为
yoco (私聊不回)(36*37) 3:04:19
inetsrv文件夹权限放水就能读到iis账户密码了
老c(16*65) 3:04:26
- -
megamax(1247203561) 3:03:15
macafee
megamax(1247203561) 3:03:19
0day
yoco (私聊不回)(36*37) 3:04:50
同样的,有些iis服务器装了mysql或者mssql,也能用root或者sa读iis配置
yoco (私聊不回)(36*37) 3:05:20
“echo到目标站根目录一句话的批处理”
老c(16*65) 3:05:40
- - cmd不行
yoco (私聊不回)(36*37) 3:05:40
真他妈的天真,echo要是能用,我还copy直接到根目录呢
yoco (私聊不回)(36*37) 3:06:17
我只能说,奇葩
yoco (私聊不回)(36*37) 3:07:02
要是装了麦咖啡,你连想都不用想了
老c(16*65) 3:08:10
我觉的他这个原理就是利用目标站的iis访问权限,来对我们现在有shell这个站进行访问,可以访问的话 ,就转到了目标站的路径下。
老c(16*65) 3:08:25
好像是这样
老c(16*65) 3:08:35
但是再看看文章上面说的。
老c(16*65) 3:08:42
感觉又不是
老c(16*65) 3:08:43
- -
老c(16*65) 3:08:48
不懂
yoco (私聊不回)(36*37) 3:11:06
不太现实
yoco (私聊不回)(36*37) 3:11:39
刚才就说了,直接wscript拷贝的
老c(16*65) 3:11:53
不是吧
老c(16*65) 3:12:10
那按你说的,这个文章完全是瞎说了 ?
.......
目测了下 文章原文 简单分析了下
iis默认配置中不存在everyoen权限
除非管理员sb到把web目录放在%windir%temp内
因为iis配置除了这个目录需要一定给与everyone写入权限外
其他的目录均可自行配置权限
我想管理员绝对不会sb到把iis下的web目录开启一个everyone
所以大胆下一个结论他先调转一个系统默认的iusr_server权限
而目标访问权限也是这个默认的iuser_server权限
所以经过第一次跳转后 可以访问到了目标站的web
随后我看到文章的图片 确定跟我推想的一样
uing07说文章不是yy就是人品好到爆的那种...没通用性
开始没看图片
后来看下下图片感觉写这篇文章的人
虽然出于好心分享
但是由于system权限归属可能不是很了解
所以误导了别人
根据图片所示明摆着就是iusr_server权限
还有iisspy 直接任何目录均可以直接写入任何web下的数据
所以就有了这篇文章 写下我的分析
根据我目测分析还原文章整个过程
首先写环境
web系统默认访问权限账户为iusr_18*** 暂且成为tb(跳转b)
菊花a 访问权限为iusr_www
同时系统默认iusr_18***权限并未删除
目标c 访问权限为iusr_manage
同时系统默认iusr_18***权限并未删除
菊花a往目标c写数据
由于iusr权限不同无法跳转跨目录
但是由于同时拥有iusr_18***权限我断定写入数据成功了
此webshell继承权限应该是iusr_18***和iusr_www
因为菊花a没有iusr_manage
但是webshell是菊花a 提交过去的
所以默认访问权限是菊花a的iusr_18***
而目标c访问权限是iusr_manage
所以目标c访问webshell时并无此权限
所以写入成功后并没有权限访问
也就是作者说的没有跨目录成功
但是sb管理只是给web添加各种访问用户的权限
并未删除iusr_18***这个系统默认的权限
所以菊花a可以先给拥有默认iusr_18***权限的tb写入数据
这过程完全无障碍 因为同样拥有iusr_18***
这次写入的webshell还是同时继承iusr_18***权限和iusr_www权限
在由tb访问此文件 因为tb默认访问权限为iusr_18***
所以tb可以访问该webshell
在由tb写入到目标c
同时权限继承iusr_18*** + iusr_manag +iusr_www
即使服务器不post的数据不继承权限
但由于tb提交过去的 所以此webshell此权限是iusr_18***
目标c访问权限是iusr_manage + iusr_18***
so访问成功
整个过程应该是这样的
写的我都觉得麻烦
在补充
菊花a 访问权限iusr_www (同时拥有iusr_18***)
跳转b 访问权限iusr_18***
目标c 访问权限iusr_manage (同时拥有iusr_18***)
菊花a写入目标c的webshell的权限用的是iusr_18***
虽然目标c拥有iusr_18***的访问权限
但是由于是菊花a提交继承 所以webshell访问的权限应该是菊花a的iusr_www + iusr_18***
目标c默认访问权限是iusr_manage + iusr_18***
没有iusr_www此权限 所以访问失败 www.jb51.net
这里输入iusr_www帐号密码还可以可以访问的
菊花a写入跳转b的webshell 用到权限同样是iusr_18***
webshell的访问权限iusr_www + iusr_18***
但是跳转b的默认访问权限为iusr_18***
所以直接无视iusr_www就可以访问
在由跳转b写入目标c
只继承iusr_18***
而目标c访问权限iusr_manage + iusr_18***
所以成功
一种少见的跨目录写webshell方法
老c(16*65) 2:55:50
谁对这个跨目录写马原理了解 ?
老c(16*65) 2:56:10
我试了几个iis账户都不行。
yoco (私聊不回)(36*37) 2:56:12
跨什么目录
老c(16*65) 2:56:31
就是虚拟主机跨目录写shell的。
yoco (私聊不回)(36*37) 2:56:31
wscript直接拷贝的吧
老c(16*65) 2:56:36
不是了。
老c(16*65) 2:56:42
组件都被删了。
老c(16*65) 2:56:49
利用iis的账户什么的。
yoco (私聊不回)(36*37) 2:56:52
那就是本来目录设置就不严
老c(16*65) 2:57:23
可能。
老c(16*65) 2:57:35
iis spy可以查看到目标站的路径和iis帐号密码
yoco (私聊不回)(36*37) 2:58:06
iis账号的密码?扯淡呢吧
老c(16*65) 2:58:06
所以我必须找一个everyone有访问权限的站,iis spy看了下,用默认的iis帐户的站也挺多,就找了一个可以跨过去,也可以写马,那么目标站的帐户应该也可以访问这个站吧。于是传上bs的马到那个站,访问,登陆成功,出现bs马的登陆界面
老c(16*65) 2:58:42
什么叫iis的默认的账户 ?
yoco (私聊不回)(36*37) 2:59:02
要是能看到密码,那是system32目录权限给放水了
老c(16*65) 2:59:10
老c(16*65) 2:59:39
色情站。已经搞定了同服的一个shell
老c(16*65) 2:59:53
现在要向目标站写马
老c(16*65) 3:00:12
我利用这个方法
yoco (私聊不回)(36*37) 3:00:16
黄站用iis?
老c(16*65) 3:00:24
嗯
yoco (私聊不回)(36*37) 3:00:31
果然奇葩
老c(16*65) 3:00:31
一种少见的跨目录写webshell方法
老c(16*65) 3:00:42
就是这篇文章了。
yoco (私聊不回)(36*37) 3:01:08
恩,ms12-020还有一个秒杀直接添加管理员账户的exp
老c(16*65) 3:01:23
命令组件被删。
yoco (私聊不回)(36*37) 3:01:43
目录设置权限不严才会被跨目录,不然就溢出
yoco (私聊不回)(36*37) 3:01:59
超越神的存在,没有那回事
老c(16*65) 3:02:16
好吧,有时间去看看这个文章了。
老c(16*65) 3:02:21
https://www.jb51.net/article/201106/93922.html
老c(16*65) 3:02:31
我没弄清楚到底怎么回事
yoco (私聊不回)(36*37) 3:02:55
这种垃圾黑客站全转载(www.jb51.net注释:上面的网址不是本站哈,这里只是替换掉的),站长自己懂不懂还是个未知数,你也信
yoco (私聊不回)(36*37) 3:03:00
他那个明摆着wscript可用
老c(16*65) 3:03:12
她这个可用。
老c(16*65) 3:03:21
但是我现在的不可用。
老c(16*65) 3:03:40
他和wscript没关系吧
yoco (私聊不回)(36*37) 3:04:03
wscript可用,inetsrv文件夹放水,都是一样的傻逼行为
yoco (私聊不回)(36*37) 3:04:19
inetsrv文件夹权限放水就能读到iis账户密码了
老c(16*65) 3:04:26
- -
megamax(1247203561) 3:03:15
macafee
megamax(1247203561) 3:03:19
0day
yoco (私聊不回)(36*37) 3:04:50
同样的,有些iis服务器装了mysql或者mssql,也能用root或者sa读iis配置
yoco (私聊不回)(36*37) 3:05:20
“echo到目标站根目录一句话的批处理”
老c(16*65) 3:05:40
- - cmd不行
yoco (私聊不回)(36*37) 3:05:40
真他妈的天真,echo要是能用,我还copy直接到根目录呢
yoco (私聊不回)(36*37) 3:06:17
我只能说,奇葩
yoco (私聊不回)(36*37) 3:07:02
要是装了麦咖啡,你连想都不用想了
老c(16*65) 3:08:10
我觉的他这个原理就是利用目标站的iis访问权限,来对我们现在有shell这个站进行访问,可以访问的话 ,就转到了目标站的路径下。
老c(16*65) 3:08:25
好像是这样
老c(16*65) 3:08:35
但是再看看文章上面说的。
老c(16*65) 3:08:42
感觉又不是
老c(16*65) 3:08:43
- -
老c(16*65) 3:08:48
不懂
yoco (私聊不回)(36*37) 3:11:06
不太现实
yoco (私聊不回)(36*37) 3:11:39
刚才就说了,直接wscript拷贝的
老c(16*65) 3:11:53
不是吧
老c(16*65) 3:12:10
那按你说的,这个文章完全是瞎说了 ?
.......
目测了下 文章原文 简单分析了下
iis默认配置中不存在everyoen权限
除非管理员sb到把web目录放在%windir%temp内
因为iis配置除了这个目录需要一定给与everyone写入权限外
其他的目录均可自行配置权限
我想管理员绝对不会sb到把iis下的web目录开启一个everyone
所以大胆下一个结论他先调转一个系统默认的iusr_server权限
而目标访问权限也是这个默认的iuser_server权限
所以经过第一次跳转后 可以访问到了目标站的web
随后我看到文章的图片 确定跟我推想的一样
uing07说文章不是yy就是人品好到爆的那种...没通用性
开始没看图片
后来看下下图片感觉写这篇文章的人
虽然出于好心分享
但是由于system权限归属可能不是很了解
所以误导了别人
根据图片所示明摆着就是iusr_server权限
还有iisspy 直接任何目录均可以直接写入任何web下的数据
所以就有了这篇文章 写下我的分析
根据我目测分析还原文章整个过程
首先写环境
web系统默认访问权限账户为iusr_18*** 暂且成为tb(跳转b)
菊花a 访问权限为iusr_www
同时系统默认iusr_18***权限并未删除
目标c 访问权限为iusr_manage
同时系统默认iusr_18***权限并未删除
菊花a往目标c写数据
由于iusr权限不同无法跳转跨目录
但是由于同时拥有iusr_18***权限我断定写入数据成功了
此webshell继承权限应该是iusr_18***和iusr_www
因为菊花a没有iusr_manage
但是webshell是菊花a 提交过去的
所以默认访问权限是菊花a的iusr_18***
而目标c访问权限是iusr_manage
所以目标c访问webshell时并无此权限
所以写入成功后并没有权限访问
也就是作者说的没有跨目录成功
但是sb管理只是给web添加各种访问用户的权限
并未删除iusr_18***这个系统默认的权限
所以菊花a可以先给拥有默认iusr_18***权限的tb写入数据
这过程完全无障碍 因为同样拥有iusr_18***
这次写入的webshell还是同时继承iusr_18***权限和iusr_www权限
在由tb访问此文件 因为tb默认访问权限为iusr_18***
所以tb可以访问该webshell
在由tb写入到目标c
同时权限继承iusr_18*** + iusr_manag +iusr_www
即使服务器不post的数据不继承权限
但由于tb提交过去的 所以此webshell此权限是iusr_18***
目标c访问权限是iusr_manage + iusr_18***
so访问成功
整个过程应该是这样的
写的我都觉得麻烦
在补充
菊花a 访问权限iusr_www (同时拥有iusr_18***)
跳转b 访问权限iusr_18***
目标c 访问权限iusr_manage (同时拥有iusr_18***)
菊花a写入目标c的webshell的权限用的是iusr_18***
虽然目标c拥有iusr_18***的访问权限
但是由于是菊花a提交继承 所以webshell访问的权限应该是菊花a的iusr_www + iusr_18***
目标c默认访问权限是iusr_manage + iusr_18***
没有iusr_www此权限 所以访问失败 www.jb51.net
这里输入iusr_www帐号密码还可以可以访问的
菊花a写入跳转b的webshell 用到权限同样是iusr_18***
webshell的访问权限iusr_www + iusr_18***
但是跳转b的默认访问权限为iusr_18***
所以直接无视iusr_www就可以访问
在由跳转b写入目标c
只继承iusr_18***
而目标c访问权限iusr_manage + iusr_18***
所以成功
下一篇: DNS欺骗的原理 DNS防御实战演练