渗透测试——利用IIS漏洞,获取对靶机建立远程桌面连接
好久之前,社团大佬给过一个靶机,今天闲来无事,重新玩了一下,写一篇文章记录一下。
写在开始前:本人是刚入门的小白,在渗透过程中也参考借鉴了其他师傅的大量文章,如有错误或不足,敬请指正。
一、环境简介
1.靶机:windows server 2003
2.IIS设置
3.攻击机:我的win10
二、具体步骤
1.利用IIS PUT Scaner扫描
如果把webdav禁用掉,立刻就会在put下面显示NO,这说明是webdav组件的问题。
2.利用IISPUT漏洞专用工具,桂林老兵的iiswriter
(1)选择options方法探测主机所支持的请求方法
发现支持put和move方法,即可进一步进行漏洞利用。
(2)选用PUT方法上传1.txt文件,里面内容为一句话木马。
201 created 表示创建成功
上传成功后,选用move方法将test.txt文件改名为shell.asp文件,即可成功获取webshell。
验证一下
确实存在该文件
3.利用菜刀连接webshell,成功
4.由于我们的目标是获取对靶机的远程控制,所以要打开靶机的3389端口
先来看看3389是否打开
首先,上传一个cmd.exe
右键,虚拟终端,执行whoami看看我们的权限
就是一般用户权限
netstat -an
发现3389端口并未打开(就不截图了,因为我的靶机已经打开了)
上传一个iis6.0.exe进行提权
发现我们的权限已经变成system权限了
再上传一个开3389.bat,利用iis6.exe运行,打开目标机的3389端口
命令:iis6.exe "3389.bat"
(如果报错操作超时,再执行一遍即可)
3389.bat文件内容如下
echo Windows Registry Editor Version 5.00>>3389.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
regedit /s 3389.reg
del 3389.reg
新建文本文档,复制粘贴,命名为3389.bat即可
这时再看看3389端口是否打开,
成功!
5.接下来就是创建一个管理员账户
第一个命令为创建一个用户名为 baba 密码为 88 的用户
第二个命令为添加用户到管理员
6.接下来就是最激动人心的时刻!
远程连接到靶机
win+r ,mstsc,输入靶机ip地址,输入刚才创建的baba 88
成功!!
三、写在最后
思路梳理:
利用IIS漏洞上传一句话木马
⬇
用中国菜刀连接
⬇
用iis6.0.exe提权
⬇
打开3389端口
⬇
创建管理员账户
⬇
远程桌面连接
作为一个小白,看到连接成功的那一刻,还是很有成就感的。
在查找资料的过程中也学习到了很多东西
特写此文以记
参考文章:
https://www.2cto.com/article/...
https://blog.51cto.com/yttita...
https://www.jianshu.com/p/ae2...
https://blog.csdn.net/darkhq/...(这篇文章使用kali作为攻击机,利用神器Metasploit实现的)
如有问题,或者想获取该靶机,欢迎与我联系。
QQ:297971447
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。