利用IIS写权限成功渗透西南某高校OA系统

二、实际渗透测试

1.IIS写权限漏洞探测

以某高校的OA系统为例，其IP地址为202.115.*.*。通过上面的测试，发现该IIS目录可以进行读写操作，直接打开该IP地址可以正常访问Web页面，如图1所示。

图1打开某高校办公自动化系统

说明：

该IP地址对外仅仅开放80和1433端口，由于所有业务系统是在登录后才能使用，使用明小子的Domain3.5、教主的HDSI3.0以及Zwell对Jsky等SQL注入工具均无漏洞利用点，无法通过SQL注入来获得突破。

2.直接提交文件

由于该IIS目录可以读写，最简单的办法就是提交一个asp的Webshell上去，但在实际提交asp文件时，IIS提示：“HTTP/1.1 403 Forbidden”错误，直接提交asp文件失败，所以直接用Post方式写asp不行了。

说明：

（1）在IIS写权限利用中的一个典型问题是：只要是IIS支持的文件类型在写入时都会产生HTTP/1.1 403 Forbidden错误。

（2）由于IIS除了可以执行put，post，get等动作外，还可以执行Copy，Move等命令，所以我们这可以先把本地asp上传到远程主机Web目录下保存为文件文件或者其它允许的文件，然后再通过copy，move等命令来修改这些文件为以后缀为asp的文件。

3.利用IIS写入漏洞利用工具软件提交

IIS写入漏洞的利用，通过手工操作比较繁琐，而且效率低下，一般使用一些IIS写入漏洞利用工具来操作。IIS写入利用工具其本质还是跟手工提交原理一样，先判断再尝试，只是将所有的过程通过编程来实现而已。在本例中使用桂林老兵的IIS写权限利用工具，先提交一个asp后门文件上去，如图2所示，在提交方式中选择PUT（前面直接使用Post失败了，所有这里要选择PUT），域名输入IP地址“202.115.*.*”，请求文件“/test.txt”，然后选择一个本地asp的webshell文件，选择完毕后单击“提交数据包”按钮，如果提交顺利，再在IE浏览器中打开test.txt文件，能够查看就表明提交成功。