0

渗透测试——利用IIS漏洞,获取对靶机建立远程桌面连接

好久之前,社团大佬给过一个靶机,今天闲来无事,重新玩了一下,写一篇文章记录一下。

写在开始前:本人是刚入门的小白,在渗透过程中也参考借鉴了其他师傅的大量文章,如有错误或不足,敬请指正。

一、环境简介

1.靶机:windows server 2003

2.IIS设置
clipboard.png

3.攻击机:我的win10

二、具体步骤

1.利用IIS PUT Scaner扫描

clipboard.png

如果把webdav禁用掉,立刻就会在put下面显示NO,这说明是webdav组件的问题。
2.利用IISPUT漏洞专用工具,桂林老兵的iiswriter
(1)选择options方法探测主机所支持的请求方法

clipboard.png
发现支持put和move方法,即可进一步进行漏洞利用。
(2)选用PUT方法上传1.txt文件,里面内容为一句话木马。

clipboard.png

201 created 表示创建成功
上传成功后,选用move方法将test.txt文件改名为shell.asp文件,即可成功获取webshell。

clipboard.png

验证一下
clipboard.png
确实存在该文件
3.利用菜刀连接webshell,成功
4.由于我们的目标是获取对靶机的远程控制,所以要打开靶机的3389端口

先来看看3389是否打开

首先,上传一个cmd.exe

右键,虚拟终端,执行whoami看看我们的权限

clipboard.png
就是一般用户权限
netstat -an
发现3389端口并未打开(就不截图了,因为我的靶机已经打开了)
上传一个iis6.0.exe进行提权

clipboard.png

clipboard.png
发现我们的权限已经变成system权限了

再上传一个开3389.bat,利用iis6.exe运行,打开目标机的3389端口
命令:iis6.exe "3389.bat"
(如果报错操作超时,再执行一遍即可)

3389.bat文件内容如下
echo Windows Registry Editor Version 5.00>>3389.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
regedit /s 3389.reg
del 3389.reg
新建文本文档,复制粘贴,命名为3389.bat即可

这时再看看3389端口是否打开,

clipboard.png

成功!

5.接下来就是创建一个管理员账户

clipboard.png

clipboard.png

第一个命令为创建一个用户名为 baba 密码为 88 的用户
第二个命令为添加用户到管理员

6.接下来就是最激动人心的时刻!
远程连接到靶机

win+r ,mstsc,输入靶机ip地址,输入刚才创建的baba 88

成功!!

三、写在最后

思路梳理:

利用IIS漏洞上传一句话木马

用中国菜刀连接

用iis6.0.exe提权

打开3389端口

创建管理员账户

远程桌面连接

作为一个小白,看到连接成功的那一刻,还是很有成就感的。
在查找资料的过程中也学习到了很多东西
特写此文以记

参考文章
https://www.2cto.com/article/...
https://blog.51cto.com/yttita...
https://www.jianshu.com/p/ae2...
https://blog.csdn.net/darkhq/...(这篇文章使用kali作为攻击机,利用神器Metasploit实现的)

如有问题,或者想获取该靶机,欢迎与我联系。
QQ:297971447

你可能感兴趣的

载入中...