漏洞复现 – CVE-2017-7269 - IIS

漏洞说明

NVD(NATIONAL VULNERABILITY DATABASE) 国家漏洞数据库:

Microsoft Windows Server 2003 R2中的Internet信息服务(IIS)6.0中的WebDAV服务中的ScStoragePathFromUrl函数中的缓冲区溢出允许远程攻击者通过PROPFIND请求中的“If:<http://”开头的长标头执行任意代码

https://nvd.nist.gov/vuln/detail/CVE-2017-7269

所有exp下载 CVE-2017-7269.rar
影响系统

  • Windows 2003

影响应用

  • IIS6.0

威胁

  • 缓冲区溢出
  • 远程代码执行

漏洞复现

漏洞环境

靶机

  • 系统: Windows 2003
  • IP: 192.168.1.253/24
  • 环境: 安装IIS6.0,启用WebDAV服务

攻击机

  • 系统: Kali
  • IP: 192.168.1.254/24

攻击步骤

添加模块

exp 导入至 /usr/share/metasploit-framework/modules/exploits/windows/iis/

导入后启动 msfconsole 搜索一下是否导入成功

载入模块

设置攻击载荷、攻击主机IP、网站IP和端口

攻击

出现 Exploit completed, but no session was created,可能是攻击过多,重启或者恢复快照就好;要么就是服务没起来或者没配置成功

whoami 查看权限发现是 authority\network service ,需要提权

提权步骤

上传提权exp

进入系统盘创建文件夹,方便后续操作

上传 iis6.exe 提权工具

使用iis6.exe尝试获取权限
iis6.exe 执行语句

出现这种情况,重来一次就行了

可以看到能够获取到 SYSTEM 权限

使用iis6.exe尝试添加用户

添加一个名为 hacker 的用户并添加到 Administrators 用户组中

用户成功添加,成功加入用户组

尝试进行远程连接

查看开放端口状态

没有开启3389,上传 3389.bat

运行 3389.bat

3389端口已经开启

尝试进行远程连接

使用原先创建的用户登录

提权成功