用户
搜索
  • TA的每日心情
    慵懒
    2017-9-6 12:27
  • 签到天数: 4 天

    连续签到: 1 天

    [LV.2]偶尔看看

    版主

    Rank: 7Rank: 7Rank: 7

    76

    主题

    402

    帖子

    1761

    魔法币
    收听
    0
    粉丝
    11
    注册时间
    2016-4-6

    楚突出贡献限定版春秋段子手i春秋签约作者

    发表于 2017-9-7 14:26:50 1017380
    作者:Namezzz

    http put move copy delete方法的研究,从环境搭建说起

    安装win2003,安装iis,03的iis版本为6.0


    访问如图所示
    图片1.png

    默认options如图所示

    图片2.png

    强行put会501,不支持该方法,需要开启webdav

    图片3.png

    在iis配置中开启WebDAV

    图片4.png
    再查看options
    图片5.png
    再put就是403 Forbidden,(注意这个403的意思)

    图片6.png

    在iis管理台中修改网站权限,选择对应的网站

    图片7.png

    再put,是401 Unauthorized

    图片8.png
    对应的用户没权限,这里查看网站的默认用户和对应的文件夹权限(这里修改匿名访问用户账户为管理员(如果这样做的话,违反安全配置规范-权限最小化原则))
    图片9.png
    在完全控制处打勾(违反安全配置规范-权限最小化原则
    再put就成功了
    图片10.png
    图片11.png
    注意这里不能put iis能解析的后缀例如asp asa cer等
    使用MOVE改名把txt改成iis能解析的asp ,报错207,里面报错403(注意这个403跟上面的区别)

    图片12.png

    修改默认网站属性-主目录-脚本资源访问打勾

    图片13.png
    再MOVE,报错207,里面报错401(注意这个401跟上面的区别)
    图片14.png

    但是查看目录已经是有1.asp这个文件的了

    图片15.png
    使用COPY和DELETE进行测试,发现MOVE报207错误(里面401)是因为MOVE执行复制和删除,删除失败(没有权限)
    图片22.png
    图片16.png

    查看internet来宾用户权限,把拒绝删除的两个勾给去掉

    图片17.png

    再MOVE和DELETE就没报错了

    图片18.png
    图片19.png
    图片20.png
    图片21.png


    如何利用这个不安全的http方法搞事情

    把web扩展中的Active Server Pages开了

    图片24.png
    put一个cmdshell进去
    图片25.png
    图片26.png
    图片27.png
    执行发现错误
    WshShell.Exec 错误 '80070005' 拒绝访问。



    这是权限问题,当前用户没有执行cmd的权限
    所以接下来要么就是把iis的运行权限改为admin,但是我不想这样做,想尽量模拟一般网站的正常配置,于是我用提权的手法,上传一个可执行的cmd,(因为前面配置wwwroot时把iis的权限给的完全控制,所以复制文件过来后会继承父文件夹的权限)


    put个一句话过去,然后使用菜刀连接

    图片28.png

    cmd依旧执行不了

    图片29.png
    上传一个cmd
    图片30.png
    图片31.png

    上传错了,这里上传了64位的,但是虚拟机win03是32位的。
    重新上传一个32位的cmd
    图片32.png
    图片33.png
    不过权限不高。后续的就是提权了,这里不再说。
    图片34.png

    指定cmdshell里面cmd.exe的路径为当前路径一样可以执行命令



    后记
    授人与渔而不授人与鱼

    文中说到403和401,返回的信息都是一样的,这是http(rfc2616)的规定,只能通过人工去排查去猜测,权限的问题到底出在哪里。

    所以只要options有看到不安全的http方法,确实是低危
    达成以下条件:
    1、 启用WebDAV
    2、 IIS来宾用户对网站文件夹有写入权限
    3、 网站主目录:写入—打勾(可PUT)
    4、 网站主目录:脚本资源访问—打勾(可COPY、MOVE)
    就是高危了。
    所以低危不低危的话,个人喜好吧。
    启用trace方法导致xss攻击这个我以后有空再写案例。


    作者:Namezzz

    评分

    参与人数 1魔法币 +2 收起 理由
    crZh + 2 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    发表于 2017-9-7 15:21:35
    6666666666
    使用道具 举报 回复
    发表于 2017-9-7 16:29:04
    其他危险方法如何利用,TRACE
    使用道具 举报 回复
    有些截图不能放大,并且好模糊,,,
    rm -rf /
    使用道具 举报 回复
    发表于 2017-9-7 17:06:37
    大佬 请多多指教
    使用道具 举报 回复
    发表于 2017-9-7 17:16:09
    好详细的教程,受教了
    使用道具 举报 回复
    发表于 2017-9-7 17:57:52
    涨姿势了
    使用道具 举报 回复
    发表于 2017-9-7 22:03:29
    了解得更清楚些了,感谢分享
    使用道具 举报 回复
    发表于 2017-9-11 10:13:51
    春秋笔画 发表于 2017-9-7 17:00
    有些截图不能放大,并且好模糊,,,

    哪些?
    使用道具 举报 回复
    发表于 2017-9-13 00:51:56
    TTTTTTTTT
    使用道具 举报 回复

    厉害~学习了
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册