IIS配置文件隱患
2024-08-29 03:16:04
供稿:網(wǎng)友
本文的內(nèi)容是如何利用IIS本身的一些特性建立后門�����。當(dāng)然�����,這主要是一份供網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)安全工作人員參考的“Know Your Enemy”類文檔�����,作者希望這篇文章能夠?qū)z查和清除后門有所幫助�����,而并不鼓勵或贊同利用本文的技巧進(jìn)行違法活動�����。
首先簡單介紹一下IIS的配置文件MetaBase.bin�����。這個文件位于%SystemRoot%/system32/inetsrv/MetaBase.bin�����,包含了幾乎所有IIS的配置信息�����,是非常重要的系統(tǒng)文件�����。簡單的說�����,我們在“intenet服務(wù)管理器”中所作的一切設(shè)置最終都會被保存在MetaBase.bin中�����。在日常的系統(tǒng)管理中除了通過“intenet服務(wù)管理器”來對MetaBase.bin進(jìn)行操作外�����,Windows還提供了一個腳本adsutil.vbs可以對MetaBase.bin進(jìn)行操作�����。
MetaBase的結(jié)構(gòu)類似于注冊表�����,也是樹形結(jié)構(gòu)�����,有類似鍵�����、值�����、項的概念�����。事實(shí)上在IIS3和PWS中�����,MetaBase的內(nèi)容就是存儲在注冊表中的�����。MetaBase有兩個主鍵:LM和Schema。其中�����,Schema保存了系統(tǒng)默認(rèn)的一些配置,通常不需要修改�����,一旦改錯也非常危險�����,所以無論是“intenet服務(wù)管理器”還是adsutil.vbs都沒有提供修改Schema的機(jī)制。LM中包含了IIS的HTTP服務(wù),F(xiàn)TP服務(wù)���,SMTP服務(wù)等的配置信息。其中���,LM/W3SVC/下是我們要用到的HTTP服務(wù)的配置信息���。
幾個下面會提到的值:
LM/W3SVC/InProcessIsapiApps,進(jìn)程內(nèi)啟動ISAPI���。這是一個數(shù)組���,里面包含的是一組指向一些ISAPI的路徑。在這個數(shù)組里面的ISAPI運(yùn)行的時候都是由inetinfo.exe直接啟動的���,繼承inetinfo.exe的local system權(quán)限���;而不在其中的ISAPI則是由svchost.exe派生的dllhost.exe進(jìn)程啟動的,運(yùn)行的身份是IWAM_NAME���,當(dāng)然���,這是IIS默認(rèn)的安全級別“中”的情況下,如果設(shè)為低���,那么所有ISAPI都會由inetinfo.exe直接派生。另外���,如果設(shè)定的時候不指定路徑���,而是僅指定一個擴(kuò)展名,那么任何路徑下的同名ISAPI在被調(diào)用的時候都會以system權(quán)限執(zhí)行���。
ScriptMaps���,腳本映射。在某個目錄下設(shè)定該值后���,則向該目錄請求的特定擴(kuò)展名的文件會交給指定的ISAPI執(zhí)行���。需要強(qiáng)調(diào)的是,設(shè)定ScriptMaps的目錄并不一定要真實(shí)存在的���,只要在MetaBase中某個HTTP實(shí)例的root鍵下建了一個子鍵���,對該字鍵同名目錄的HTTP請求IIS會認(rèn)為是合法的,并會交由映射的ISAPI處理���。這也算是IIS的一個問題吧���。
CreateProcessAsUser���,在某個目錄下指定改值為0���,則該目錄下的應(yīng)用程序會繼承inetinfo.exe的local system權(quán)限。
AccessWrite���,決定某個目錄是否允許寫入���,也就是WEBDAV的PUT方法。
AccessExecute���,決定某個目錄是否允許執(zhí)行應(yīng)用程序���。
后門思路:
創(chuàng)建一個特定擴(kuò)展名的腳本映射���,指向我們的ISAPI���,并把該ISAPI添加到InProcessIsapiApps列表中。那么我們向服務(wù)器請求該擴(kuò)展名類型文件時就會在服務(wù)器上以local system權(quán)限執(zhí)行該ISAPI���,且所請求的文件并不需要是真實(shí)存在的���。
技巧:
1���、既然并不需要真的建一個目錄來設(shè)定ScriptMaps,那么就可以只寫一個鍵���,并給這個鍵加上ScriptMaps���。這樣���,從“intenet服務(wù)管理器”里是看不出這個目錄的���,更看不到這個ScriptMaps。
2���、雖然“intenet服務(wù)管理器”里面看不出來���,但是有經(jīng)驗(yàn)的管理員可能習(xí)慣于偶爾用adsutil.vbs enum /p來看一下:
# adsutil.vbs enum /p /w3svc/1/root
Microsoft (R) Windows Script Host Version 5.6
版權(quán)所有(C) Microsoft Corporation 1996-2001���。保留所有權(quán)利���。
[/w3svc/1/root/_vti_bin]
[/w3svc/1/root/evildir]
這樣就暴露了。
因?yàn)槲覀冊O(shè)的那個鍵并不是真實(shí)存在的虛擬目錄���,只是配置文件中的一個字符串���,所以可以使用0x08這樣的字符來做鍵值���。0x08是Backspace鍵對應(yīng)的16進(jìn)制值���,控制臺上顯示的效果是向左邊刪除一個字符,其實(shí)就是把“/”給刪了:
# adsutil.vbs enum /p /w3svc/1/root
Microsoft (R) Windows Script Host Version 5.6
版權(quán)所有(C) Microsoft Corporation 1996-2001���。保留所有權(quán)利���。
[/w3svc/1/root/_vti_bin]
[/w3svc/1/root]
面對這種輸出,一般人是不會留意的���。
當(dāng)然也可以設(shè)為類似_vti_script���,_vti_bin這樣的名字,只要不設(shè)KeyType,在“intenet服務(wù)管理器”中是看不見的���。
因?yàn)橄到y(tǒng)中本身InProcessIsapiApps中有一個/WINNT/System32/msw3prt.dll,是.printer的映射���,一般用不上���。我們可以刪掉D:/WINNT/System32/msw3prt.dll的值,換上/WINNT/System32/inetsrv/msw3prt.dll���。
3���、美中不足的是HTTP請求會留下痕跡,但是HTTP也有好處���,那就是可以隨便用一個代理服務(wù)器做跳板���。另外���,也可以用插入0x0D 0x0A來偽造日志的方法���,(詳見《Apache���,IIS等多種http服務(wù)器允許通過發(fā)送回車符偽造日志》一文)這就是構(gòu)造目錄的技巧了���。
具體實(shí)現(xiàn):
當(dāng)然可以用adsutil.vbs手工來加���。不過需要注意,adsutil.vbs只能設(shè)���,不能改���,所以用adsutil.vbs的時候一定要把原先的也加上���,否則原先的就會丟失���。不同條目之間用空格分開���。
先用下面命令取得當(dāng)前的InProcessIsapiApps列表:
adsutil.vbs get /W3SVC/InProcessIsapiApps
取到之后把自己的ISAPI路徑也加進(jìn)去���。
adsutil.vbs set /W3SVC/InProcessIsapiApps "C:/WINNT/System32/idq.dll" "C:/WINNT/System32/inetsrv/httpext.dll" ………………
ScriptMaps的設(shè)定同InProcessIsapiApps���。
當(dāng)然這樣比較麻煩,也無法寫入0x08這樣的鍵值���,所以我干脆自己寫個VBS一次性搞定。至于那個做后門的ISAPI���,能實(shí)現(xiàn)的功能就完全取決于想象力了。這里是一個簡單例子的屏幕拷貝:
# nc 10.11.0.26 80
POST /%08/anything.tom
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版權(quán)所有 1985-1998 Microsoft Corp.
C:/WINNT/system32>whoami
NT AUTHORITY/SYSTEM
C:/WINNT/system32>exit
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Wed, 08 Jan 2003 06:49:37 GMT
更隱蔽的方法是寫一個特殊的ISAPI���,并注冊為解析asp的���。通常情況下,該程序把收到的請求轉(zhuǎn)給系統(tǒng)原來的asp.dll���,并把結(jié)果返回���,當(dāng)收到一個特殊POST請求時就啟動自己的后門代碼,這樣日志里面也不會有什么顯示���。審核時也很難發(fā)現(xiàn)���。
除了上面所述利用腳本映射的方法外,還可以賦予某個虛擬目錄AccessWrite和AccessExecute權(quán)限���。需要運(yùn)行后門的時候利用WEBDAV上載ISAPI,然后運(yùn)行���,使用完了再刪除。(是否能刪除���?還是需要restart W3SVC ���?我沒有試驗(yàn)���。)如果上載的不是DLL而是EXE文件���,那么把該目錄下的CreateProcessAsUser設(shè)為0也可以獲得local system權(quán)限,這個方法早有人撰文論述���。但AccessWrite和AccessExecute的改變都可以在“intenet服務(wù)管理器”中看出來���,隱蔽性就差了���。
