这篇文章上次修改于 513 天前,可能其部分内容已经发生变化,如有疑问可询问作者。
0x01 简介
IIS 6.0 溢出漏洞,漏洞编号为 MS09-020,补丁为 KB970483。
该提权工具是通过利用 WMI 的权限来执行命令。
0x02 利用条件
- IIS 6.0
- 获取 webshell 后要支持 cmd
- 目标服务器未打补丁 KB970483
0x03 实验环境
- Windows Server 2003 Enterprise Edition
- IIS 6.0
0x04 利用方法
本次实验的前提是我们通过上传漏洞上传了一个大马,执行命令时发现 cmd 被禁了,这时,我们可以上传一个与目标服务器相同的系统的 cmd.exe 来执行命令,上传以后需要在 SHELL 路径那填上传的 cmd.exe 的路径
查看目前的权限,可以看到是 network service 权限
此时像添加用户这种操作是没有权限的
查看目标服务器是否安装补丁 KB970483,没有安装,可以提权
将提权工具 iis6up.exe 上传到目标服务器中,然后再查看权限,此时就是 system 权限了
现在再来尝试添加用户
查看用户列表,添加成功了
0x05 痕迹
5.1 进程
这是正常运行时的后台进程
当我们使用 iis6up.exe 执行whoami命令时,w3wp.exe 进程先生成一个子进程 cmd.exe,然后子进程 cmd.exe 再生成一个子进程 iis6up.exe,执行完命令后,先结束 iis6up.exe 进程,再结束 cmd.exe 进程
没有评论