IIS配置文件后门的方法

作者:tombkeeper pgn 来源:www.loveling.net/黑客基地

本文的内容是如何利用IIS本身的一些特性建立后门。当然,这主要是一份供网络管理员和网络安全工作人员参考的“Know Your Enemy”类文档,作者希望这篇文章能够对检查和清除后门有所帮助,而并不鼓励或赞同利用本文的技巧进行违法活动。

  首先简单介绍一下IIS的配置文件MetaBase.bin。这个文件位于%SystemRoot%system32inetsrvMetaBase.bin,包含了几乎所有IIS的配置信息,是非常重要的系统文件。简单的说,我们在“intenet服务管理器”中所作的一切设置最终都会被保存在MetaBase.bin中。在日常的系统管理中除了通过“intenet服务管理器”来对MetaBase.bin进行操作外,Windows还提供了一个脚本adsutil.vbs可以对MetaBase.bin进行操作。

  MetaBase的结构类似于注册表,也是树形结构,有类似键、值、项的概念。事实上在IIS3和PWS中,MetaBase的内容就是存储在注册表中的。MetaBase有两个主键:LM和Schema。其中,Schema保存了系统默认的一些配置,通常不需要修改,一旦改错也非常危险,所以无论是“intenet服务管理器”还是adsutil.vbs都没有提供修改Schema的机制。LM中包含了IIS的HTTP服务,FTP服务,SMTP服务等的配置信息。其中,LM/W3SVC/下是我们要用到的HTTP服务的配置信息。

几个下面会提到的值:

  LM/W3SVC/InProcessIsapiApps,进程内启动ISAPI。这是一个数组,里面包含的是一组指向一些ISAPI的路径。在这个数组里面的ISAPI运行的时候都是由inetinfo.exe直接启动的,继承inetinfo.exe的local system权限;而不在其中的ISAPI则是由svchost.exe派生的dllhost.exe进程启动的,运行的身份是IWAM_NAME,当然,这是IIS默认的安全级别“中”的情况下,如果设为低,那么所有ISAPI都会由inetinfo.exe直接派生。另外,如果设定的时候不指定路径,而是仅指定一个扩展名,那么任何路径下的同名ISAPI在被调用的时候都会以system权限执行。

  ScriptMaps,脚本映射。在某个目录下设定该值后,则向该目录请求的特定扩展名的文件会交给指定的ISAPI执行。需要强调的是,设定ScriptMaps的目录并不一定要真实存在的,只要在MetaBase中某个HTTP实例的root键下建了一个子键,对该字键同名目录的HTTP请求IIS会认为是合法的,并会交由映射的ISAPI处理。这也算是IIS的一个问题吧。

  CreateProcessAsUser,在某个目录下指定改值为0,则该目录下的应用程序会继承inetinfo.exe的local system权限。

  AccessWrite,决定某个目录是否允许写入,也就是WEBDAV的PUT方法。

  AccessExecute,决定某个目录是否允许执行应用程序。

后门思路:

  创建一个特定扩展名的脚本映射,指向我们的ISAPI,并把该ISAPI添加到InProcessIsapiApps列表中。那么我们向服务器请求该扩展名类型文件时就会在服务器上以local system权限执行该ISAPI,且所请求的文件并不需要是真实存在的。

技巧:

  1、既然并不需要真的建一个目录来设定ScriptMaps,那么就可以只写一个键,并给这个键加上ScriptMaps。这样,从“intenet服务管理器”里是看不出这个目录的,更看不到这个ScriptMaps。

  2、虽然“intenet服务管理器”里面看不出来,但是有经验的管理员可能习惯于偶尔用adsutil.vbs enum /p来看一下:

# adsutil.vbs enum /p /w3svc/1/root

Microsoft (R) Windows Script Host Version 5.6

版权所有(C) Microsoft Corporation 1996-2001。保留所有权利。

[/w3svc/1/root/_vti_bin]

[/w3svc/1/root/evildir]

  这样就暴露了。因为我们设的那个键并不是真实存在的虚拟目录,只是配置文件中的一个字符串,所以可以使用0x08这样的字符来做键值。0x08是Backspace键对应的16进制值,控制台上显示的效果是向左边删除一个字符,其实就是把“/”给删了:

# adsutil.vbs enum /p /w3svc/1/root

Microsoft (R) Windows Script Host Version 5.6

版权所有(C) Microsoft Corporation 1996-2001。保留所有权利。

[/w3svc/1/root/_vti_bin]

[/w3svc/1/root]

  面对这种输出,一般人是不会留意的。

  当然也可以设为类似_vti_script,_vti_bin这样的名字,只要不设KeyType,在“intenet服务管理器”中是看不见的。

  因为系统中本身InProcessIsapiApps中有一个WINNTSystem32msw3prt.dll,是.printer的映射,一般用不上。我们可以删掉D:WINNTSystem32msw3prt.dll的值,换上WINNTSystem32inetsrvmsw3prt.dll。

  美中不足的是HTTP请求会留下痕迹,但是HTTP也有好处,那就是可以随便用一个代理服务器做跳板。另外,也可以用插入0x0D 0x0A来伪造日志的方法,(详见《Apache,IIS等多种http服务器允许通过发送回车符伪造日志》一文)这就是构造目录的技巧了。

具体实现:

  当然可以用adsutil.vbs手工来加。不过需要注意,adsutil.vbs只能设,不能改,所以用adsutil.vbs的时候一定要把原先的也加上,否则原先的就会丢失。不同条目之间用空格分开。

  先用下面命令取得当前的InProcessIsapiApps列表: adsutil.vbs get /W3SVC/InProcessIsapiApps

  取到之后把自己的ISAPI路径也加进去。 adsutil.vbs set /W3SVC/InProcessIsapiApps "C:WINNTSystem32idq.dll" "C:WINNTSystem32inetsrvhttpext.dll" ………………

  ScriptMaps的设定同InProcessIsapiApps。

  当然这样比较麻烦,也无法写入0x08这样的键值,所以我干脆自己写个VBS一次性搞定。至于那个做后门的ISAPI,能实现的功能就完全取决于想象力了。这里是一个简单例子的屏幕拷贝:

# nc 10.11.0.26 80

POST /%08/anything.tom

Microsoft Windows 2000 [Version 5.00.2195]

(C) 版权所有 1985-1998 Microsoft Corp.

C:WINNTsystem32>whoami

NT AUTHORITYSYSTEM

C:WINNTsystem32>exit

HTTP/1.1 200 OK

Server: Microsoft-IIS/5.0

Date: Wed, 08 Jan 2003 06:49:37 GMT

  更隐蔽的方法是写一个特殊的ISAPI,并注册为解析asp的。通常情况下,该程序把收到的请求转给系统原来的asp.dll,并把结果返回,当收到一个特殊POST请求时就启动自己的后门代码,这样日志里面也不会有什么显示。审核时也很难发现。

  除了上面所述利用脚本映射的方法外,还可以赋予某个虚拟目录AccessWrite和AccessExecute权限。需要运行后门的时候利用WEBDAV上载ISAPI,然后运行,使用完了再删除。(是否能删除?还是需要restart W3SVC ?我没有试验。)如果上载的不是DLL而是EXE文件,那么把该目录下的CreateProcessAsUser设为0也可以获得local system权限,这个方法早有人撰文论述。但AccessWrite和AccessExecute的改变都可以在“intenet服务管理器”中看出来,隐蔽性就差了。

(0)

相关推荐

  • PHP 的几个配置文件函数

    php 的配置函数就是几个ini_*的函数,主要是针对配置文件的操作,其实就四个函数:ini_get.ini_set.ini_get_all.ini_restore.个人感觉最有用的就是ini_set和ini_get. * ini_get():获取配置文件的选项值 这个函数相信很多人都使过,就是获取配置文件中某一个选项的值,如果是true值就返回1,如果是false值就返回0,字符串就返回字符串.     比如手册中的例子:     〈?php     /*     Our php.ini co

  • nginx+php-fpm配置文件的组织结构介绍

    1.nginx的配置文件路径 一般来说,安装nginx的时候,配置文件的默认路径是 /usr/local/nginx/conf/nginx.conf. 我们可以使用一个链接文件,将conf目录指向一个特定目录,以方便管理.例如,笔者所在的公司喜欢将所有的服务器配置文件集中在/home/server_config中,然后在该目录中新建一个子目录 nginx,再将/usr/local/nginx/conf 通过链接文件指向/home/server_config/nginx. 2.Virtual ho

  • 自定义应用程序配置文件(app.config)

    1. 配置文件概述:  应用程序配置文件是标准的 XML 文件,XML 标记和属性是区分大小写的.它是可以按需要更改的,开发人员可以使用配置文件来更改设置,而不必重编译应用程序.配置文件的根节点是configuration.我们经常访问的是appSettings,它是由.Net预定义配置节.我们经常使用的配置文件的架构是象下面的形式.先大概有个印象,通过后面的实例会有一个比较清楚的认识.下面的"配置节"可以理解为进行配置一个XML的节点. 常见配置文件模式: <configura

  • 深入apache配置文件httpd.conf的部分参数说明

    <Directory>...</Directory> -- 设定指定目录的访问权限<Files>...</Files> -- 设置应用于指定文件的指令示例:拒绝访问以'-ht'开头的文件<Files ~"^\.ht">Order allow,denyDeny from all</Files><Location>...</Location> -- 设置应用于特定URL的指令,容器包含只应用于特

  • nginx配置文件nginx.conf中文注释说明

    nginx的配置文件默认在nginx程序安装目录的conf下,主配置文件问nginx.conf.下面是nginx.conf文件的详细解释,如果有不太明白的,可以加我们的QQ群,来一下探讨. ######Nginx配置文件nginx.conf中文详解##### #定义Nginx运行的用户和用户组 user www www; #nginx进程数,建议设置为等于CPU总核心数. worker_processes 8; #全局错误日志定义类型,[ debug | info | notice | warn

  • apache 配置文件解说

    在Internet时代,外部主页的发布已经成为树立公司形象的一个重要手段,而内部主页也成为公司管理的主要方式.但是,要想实现这些功能,首先应该把我们的Linux Server配置成为一台强大的Web Server.本章将详细介绍如何配置Apache服务器.希望各位同仁能够通过阅读本片文章达到理论实践双丰收的目的,在很短的时间里迅速成为一名出色的网络管理员. 1.2 所需资源 1.2.1 所需包 RedHat6.2 服务器安装 1.2.2 所需配置文件 /etc/httpd/conf/httpd.

  • 实现core文件自动生成配置文件的方法

    本文讲述了实现core文件自动生成的配置方法,具体执行步骤如下: 1.编辑环境配置文件,让shell启动时自动设置ulimit vi /etc/profile ulimit -c unlimited > /dev/null 2>&1 2.更改core文件生成路径 vi /etc/sysctl.conf kernel.core_uses_pid = 1 kernel.core_pattern=/tmp/core-%e-%p 3.sysctl配置生效 sysctl -p /etc/sysc

  • php.ini 配置文件的深入解析

    [PHP] ; PHP还是一个不断发展的工具,其功能还在不断地删减 ; 而php.ini的设置更改可以反映出相当的变化, ; 在使用新的PHP版本前,研究一下php.ini会有好处的 ;;;;;;;;;;;;;;;;;;; ; 关于这个文件 ; ;;;;;;;;;;;;;;;;;;; ; 这个文件控制了PHP许多方面的观点.为了让PHP读取这个文件,它必须被命名为 ; 'php.ini'.PHP 将在这些地方依次查找该文件:当前工作目录:环境变量PHPRC ; 指明的路径:编译时指定的路径. ;

  • linux批量备份服务器配置文件和目录的脚本

    功能:1. 只在备份机执行,远程的服务器只需要允许备份机用root通过密钥登录:2. 在备份机上配置需要备份哪些服务器,在NEED_BACKUP_SERVERS这个数组增减:3. 在备份机上配置需要备份服务器上哪些文件,在NEED_BACKUP_DETAIL这个数组增减,如果需要备份某台服务器上NEED_BACKUP_DETAIL数组里定义的某个文件就备份,不存在的文件则自动跳过,例如Web服务器上没my.cnf , 也没有影响:4. 如果服务器上产生的新备份和已经存在已往备份内容一样则只保留时

  • nginx配置文件详解中文版

    本文列出了nginx默认配置文件 nginx.conf手大部分命令,并加以中文注释说明,实际配置中可能没有这么复杂,这里只能作为一个参考阅读文档!一.nginx基本配置 复制代码 代码如下: #定义Nginx运行的用户和用户组,系统中必须有此用户,可以是nologinuser www www;   #启动进程,通常设置成和cpu的数量相等worker_processes  1; #全局错误日志及PID文件error_log  /var/log/nginx/error.log; #错误日志定义等级

随机推荐