IIS配置文件后門的方法

2019-11-02 16:50:56

字體：大中小

來源：轉載

供稿：網友

作者：tombkeeper pgn 來源：www.loveling.net/黑客基地

本文的內容是如何利用IIS本身的一些特性建立后門。當然，這主要是一份供網絡管理員和網絡安全工作人員參考的“Know Your Enemy”類文檔，作者希望這篇文章能夠對檢查和清除后門有所幫助，而并不鼓勵或贊同利用本文的技巧進行違法活動。

　　首先簡單介紹一下IIS的配置文件MetaBase.bin。這個文件位于%SystemRoot%system32inetsrvMetaBase.bin，包含了幾乎所有IIS的配置信息，是非常重要的系統文件。簡單的說，我們在“intenet服務管理器”中所作的一切設置最終都會被保存在MetaBase.bin中。在日常的系統管理中除了通過“intenet服務管理器”來對MetaBase.bin進行操作外，Windows還提供了一個腳本adsutil.vbs可以對MetaBase.bin進行操作。

　　MetaBase的結構類似于注冊表，也是樹形結構，有類似鍵、值、項的概念。事實上在IIS3和PWS中，MetaBase的內容就是存儲在注冊表中的。MetaBase有兩個主鍵：LM和Schema。其中，Schema保存了系統默認的一些配置，通常不需要修改，一旦改錯也非常危險，所以無論是“intenet服務管理器”還是adsutil.vbs都沒有提供修改Schema的機制。LM中包含了IIS的HTTP服務，FTP服務，SMTP服務等的配置信息。其中，LM/W3SVC/下是我們要用到的HTTP服務的配置信息。

幾個下面會提到的值：

　　LM/W3SVC/InProcessIsapiApps，進程內啟動ISAPI。這是一個數組，里面包含的是一組指向一些ISAPI的路徑。在這個數組里面的ISAPI運行的時候都是由inetinfo.exe直接啟動的，繼承inetinfo.exe的local system權限；而不在其中的ISAPI則是由svchost.exe派生的dllhost.exe進程啟動的，運行的身份是IWAM_NAME，當然，這是IIS默認的安全級別“中”的情況下，如果設為低，那么所有ISAPI都會由inetinfo.exe直接派生。另外，如果設定的時候不指定路徑，而是僅指定一個擴展名，那么任何路徑下的同名ISAPI在被調用的時候都會以system權限執行。

　　ScriptMaps，腳本映射。在某個目錄下設定該值后，則向該目錄請求的特定擴展名的文件會交給指定的ISAPI執行。需要強調的是，設定ScriptMaps的目錄并不一定要真實存在的，只要在MetaBase中某個HTTP實例的root鍵下建了一個子鍵，對該字鍵同名目錄的HTTP請求IIS會認為是合法的，并會交由映射的ISAPI處理。這也算是IIS的一個問題吧。

　　CreateProcessAsUser，在某個目錄下指定改值為0，則該目錄下的應用程序會繼承inetinfo.exe的local system權限。

　　AccessWrite，決定某個目錄是否允許寫入，也就是WEBDAV的PUT方法。

　　AccessExecute，決定某個目錄是否允許執行應用程序。

后門思路：

　　創建一個特定擴展名的腳本映射，指向我們的ISAPI，并把該ISAPI添加到InProcessIsapiApps列表中。那么我們向服務器請求該擴展名類型文件時就會在服務器上以local system權限執行該ISAPI，且所請求的文件并不需要是真實存在的。

技巧：

　　1、既然并不需要真的建一個目錄來設定ScriptMaps，那么就可以只寫一個鍵，并給這個鍵加上ScriptMaps。這樣，從“intenet服務管理器”里是看不出這個目錄的，更看不到這個ScriptMaps。

　　2、雖然“intenet服務管理器”里面看不出來，但是有經驗的管理員可能習慣于偶爾用adsutil.vbs enum /p來看一下：

# adsutil.vbs enum /p /w3svc/1/root

Microsoft (R) Windows Script Host Version 5.6

上一篇：IIS日志轉到sqlserver的實現方法

下一篇：用 win2003 架設共享服務器的圖文教程第1/3頁