0x01 简介

IIS 6.0 溢出漏洞,漏洞编号为 MS09-020,补丁为 KB970483。

该提权工具是通过利用 WMI 的权限来执行命令。

0x02 利用条件

  • IIS 6.0
  • 获取 webshell 后要支持 cmd
  • 目标服务器未打补丁 KB970483

0x03 实验环境

  • Windows Server 2003 Enterprise Edition
  • IIS 6.0

0x04 利用方法

本次实验的前提是我们通过上传漏洞上传了一个大马,执行命令时发现 cmd 被禁了,这时,我们可以上传一个与目标服务器相同的系统的 cmd.exe 来执行命令,上传以后需要在 SHELL 路径那填上传的 cmd.exe 的路径

查看目前的权限,可以看到是 network service 权限

此时像添加用户这种操作是没有权限的

查看目标服务器是否安装补丁 KB970483,没有安装,可以提权

将提权工具 iis6up.exe 上传到目标服务器中,然后再查看权限,此时就是 system 权限了

现在再来尝试添加用户

查看用户列表,添加成功了

0x05 痕迹

5.1 进程

这是正常运行时的后台进程

当我们使用 iis6up.exe 执行whoami命令时,w3wp.exe 进程先生成一个子进程 cmd.exe,然后子进程 cmd.exe 再生成一个子进程 iis6up.exe,执行完命令后,先结束 iis6up.exe 进程,再结束 cmd.exe 进程

0x06 参考

利用IIS6提权获得管理员权限

Windows 提权------IIS6.exe溢出提权