国内的IDC运营商最常见的模式就是IIS搭配解析asp,有星外,新网,西数,华众等等。。。
这些虚拟主机提权都是相当难。最近小生在和习科核心渗透群里的一次渗透测试中,就遇到了一次。
旁注,同服,虚拟主机服务器,只支持asp解析,aspx和php都不支持
最幸运的是,这个虚拟主机居然忘了禁用wscript
但是服务器上装了流氓软件360和杀毒软件诺顿,虽然我不太理解流氓软件和杀毒软件为何会共存,但是我比较清楚的是,比较难提权。
既然是旁注,那就是想办法跨目录,那么跨到哪个目录呢?
IIS的话,其实是很容易的,ASPX大马通常自带读网站目录的组件,但是asp的话需要执行命令。
使用cscript执行这个脚本就得到iis的账户和密码还有路径了。
有些虚拟主机服务器上有多达上千个asp站,很容易超时,如这个方式执行即可cscript iis.vbs > iis.txt
该主机提权的方式是iis溢出得到system,执行shell.user组件添加用户绕过360得到的。
不过服务器有很多限制
第一,远程桌面服务开启,读取注册表默认为3389,用webshell扫描本机端口3389却是关闭的nmap扫了下,也没检测到远程桌面的端口第二,netstat命令被禁,自己传一个netstat.exe也没回显,同样的net.exe也是一样的
即使提权成功了,也没法登陆服务器,不过目的既然是跨目录,那么添加了administrators的用户后,就有办法。
使用iis跨工具工具:iis权限重分配跨目录程序
将这个asp脚本上传到iis的虚拟主机以后,访问,第一个界面默认点“ok”后会弹出如下验证框:
可以输入目标IIS账户的用户名和密码(IUSER_00744 %MjI1NDkyMDA5MTAyNjE),但是通常这个办法是不太有效的
直接用administrators的账号就更好了,输入刚刚创建的administrators组的账户和密码
这样就得到了administrators的权限来浏览目录,当然这个权限也很容易的就把目标站拿下了
有了自己的思想就有了灵魂,走出自己的路才是真正的技术。