freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

从搭建平台开始学习IIS文件PUT上传漏洞
2020-03-01 21:46:46

从搭建平台开始学习IIS文件PUT上传漏洞

     新的漏洞测试技能get!不得不说IIS还是很常见的啊,之前测过不少项目都是IIS,所以有必要了解这东西上面到底有哪些漏洞。这次学到了文件PUT上传的一个漏洞,废话不多说,经验与详细步骤奉上!

靶机搭建:

     选用靶机为Windows server2003,开启IIS很简单,控制面板>添加或删除程序,左边点击“添加/删除Windows组件”,弹出对话框。

图片.png

对话框中,找到应用程序服务器并选择,点击右下角详细信息。

图片.png如图勾选组件,然后确定,下一步即可。

图片.png     若你之前未装过IIS的话,可能会提示让你插入光盘。因为我是虚拟机,直接虚拟光驱中导入安装时的cd1即可。此处注意,他虽然弹窗说是cd2,但实际他需要的文件才cd1中。若插入cd1后系统提示你重新安装windows server2003,不用管他关掉就好。

图片.png     系统提示完成更改后,关闭对话框。此时服务已经搭建完成,检验方法也很简单,浏览器地址栏中输入localhost或127.0.0.1即可,如果看到如下页面,证明搭建已经完成。

图片.png     当然本地访问还是不够的,我们需要主机也可以链接。保险起见,看主机是否能ping通虚拟机。查了一下虚拟机ip为192.168.101.9(注意此处虚拟机网卡必须选择桥接模式),然后主机去ping这个地址。

图片.png     很好,可以ping通。然后检查主机是否可以访问虚拟机的应用服务。浏览器地址栏中输入应用地址192.168.101.9:80(默认端口)访问。

图片.png     ok,靶机搭建成功。搭建完成后,接下来是相关设置或管理。靶机选择控制面板>管理工具,找到Internet Information Services(IIS)管理器,打开就行,如下图。

图片.png     靶机搭建完成后,我们来讨论一下这个漏洞。IIS文件PUT上传漏洞,顾名思义,一是IIS下才有的漏洞(且为IIS6.0),二是需要PUT,也就是常说的不安全http方法PUT。当你遇到一个站点,已经确认他搭建于IIS低版本并且PUT方法开着的话,那么多半可能存在这个漏洞。下图是不存在漏洞系统返回的OPTIONS请求(不想在虚拟机上装burp suite了,于是在win10上模仿了一下,忽略iis10.0吧,经过测试这个版本漏洞已经被修复):

图片.png下面是存在漏洞系统返回的OPTIONS请求:

图片.png     漏洞的存在与否,取决于这个系统的WebDAV是否开启或配置是否得当。我们要复现这个漏洞,首先要打开WebDAV功能,并且将写入权限打开。打开方式见图,右键默认网站>属性>主目录,将写入的勾点上(默认是关闭的):

图片.png

图片.png      WebDAV是一种HTTP1.1的扩展协议,使HTTP在GET、POST、HEAD等几个标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写。WebDAV并不常用,实际上一般业务POST与GET方法就可以满足。接着返回漏洞复现,我们现在使用工具IIS PUT Scanner测试靶机漏洞是否存在。主机打开工具,地址填192.168.101.9(实际测试中当然要填目标系统地址),端口默认80.8080,根据实际系统使用端口填写,其余默认,然后点击Scan。

图片.png     可以看到80端口PUT为YES。我们在使用另一工具对服务器进行上传操作。上传一句话木马为txt文件,木马见图。

图片.png     嗯?等等,为什么是401未被授权查看?百度搜了一下,啊,原来还要开Internet帐户的访问权限。右键默认网站权限,把Internet的读取写入及修改权限点上。

图片.png再传,ok返回201,并且网站目录也能看到这个文件了。

图片.png    当然,txt又不是可执行文件,我们还需要将他转换一下格式才能用菜刀连上。使用MOVE方法,提交数据包,将txt改为asp。

图片.png      嗯?为什么又是403?为什么我做的永远和大佬的结果不一样?哭。。。排查问题,发现是文件格式被禁了。因为我尝试将txt转为jpg就可以。

图片.png好吧,让我们再在属性里将权限脚本资源访问也勾上。

图片.png再次尝试,终于成功!

图片.pngshell就安安静静地躺在那里,等着菜刀的敲门~

图片.png      好的,接下来就很简单了,打开菜刀,连接!不得不说复现漏洞许多步网上大佬都没有讲到,踩了许多坑后发现,还是需要自己动手动脑啊。

# iis漏洞 # HTTP put
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者