三、尋找突破點(diǎn)
　　沒想到IIS權(quán)限配置的這么BT，現(xiàn)在唯一的方法就是找一個(gè)能執(zhí)行的目錄，還能寫入文件，可是權(quán)限配置的這么BT，要找到這樣的目錄真的很困難，也許都沒有，不過一般C:\winnt我想應(yīng)該能進(jìn)入，瀏覽里面的目錄和文件，因?yàn)镮IS5.0的Internet 來賓帳戶一般都是GUESTS權(quán)限，而WINNT目錄都給予GUESTS權(quán)限讀取、運(yùn)行和列出文件夾目錄，就是不能寫入，如果WINNT目錄不給予這樣的權(quán)限，可以系統(tǒng)里的一些服務(wù)就不能正常運(yùn)行，所以還是在c:\winnt里找找突破點(diǎn)，也就是可能存在可以寫入的目錄，先試試可不可以讀取文件，在Asp站長助手的"地址欄"里輸入"c:\winnt"（如圖7）看到了吧，果然能瀏覽文件和文件夾，就是不能寫入文件，現(xiàn)在就要找到一個(gè)能寫入和能執(zhí)行的目錄，然后上傳一個(gè)本地溢出程序，進(jìn)行本地溢出得到管理員權(quán)限。不過WINNT目錄里有這么多文件夾，怎么找？如果一個(gè)一個(gè)的找，要找到什么時(shí)候？于是經(jīng)過一陣沉思，突然想到，IIS的那個(gè)文件夾，也就是在c:\winnt\system32\inetsrv目錄里會(huì)不會(huì)有這樣的目錄？因?yàn)镮IS的Internet 來賓帳戶很可能要調(diào)用inetsrv目錄里的一些文件，或是加載文件，而這就要求必須有寫權(quán)限，于是馬上進(jìn)入c:\winnt\system32\inetsrv目錄里，發(fā)現(xiàn)里面有一個(gè)DATA目錄，于是試著在里面建一個(gè)文件，在ASP站長助手里點(diǎn)擊左邊的那個(gè)"新建文本"，隨便建一個(gè)文件試試，哈哈，沒想到真的成功了（如圖8），我在里面建了一個(gè)serv.txt的文本文件，看來能寫入，不知道能不能執(zhí)行，于是馬上把cmd.exe上傳到c:\winnt\system32\inetsrv\data目錄里，再點(diǎn)擊左邊的"命令行模塊"，在最下面的"SHELL路徑："下填寫c:\winnt\system32\inetsrv\data\cmd.exe，因?yàn)槲以赿ata目錄里上傳了一個(gè)cmd.exe，就以data下的cmd.exe運(yùn)行，而c:\winnt\system32\的cmd.exe沒有執(zhí)行權(quán)限，BT空間商把來賓用戶的權(quán)限取消了，填寫好后在"執(zhí)行"按扭上面輸入ipconfig /all命令，主要是看看能不能執(zhí)行（如圖9），哈哈，真的成功了，突然發(fā)現(xiàn)勝利的曙光在眼前一閃^_^。
四、進(jìn)行權(quán)限提升，進(jìn)行BUG修補(bǔ)
　　現(xiàn)在就來提升權(quán)限，不過我聽空間商說，過了SP4的那些本地溢出漏洞他都補(bǔ)了，就連最近新出的一些都補(bǔ)掉了，所以我就不在這里做這些沒用的事浪費(fèi)時(shí)間了，用社會(huì)工程學(xué)覺得沒必要，對(duì)了，試試SERV-U的那個(gè)本地權(quán)限提升工具，具我預(yù)感應(yīng)該可以，因?yàn)槲衣犝fSERV-U5.2的那個(gè)用戶和密碼還是沒改，應(yīng)該還存在這樣的漏洞吧？好了，廢話不多說，來試試，用ASP站長助手上傳SERV-U的那個(gè)溢出程序，上傳到DATA目錄里，然后進(jìn)行溢出，命令是：serv-u "要執(zhí)行的命令"，比如我想建一個(gè)yibing的用戶，就輸入serv-u "net user yibing /add"，呵呵，沒想到真的溢出成功了，真想不通怎么最新的SERU-U程序也存在這樣的BUG，現(xiàn)在就是看看終端開的沒有，上傳了mport.exe，發(fā)現(xiàn)5921這個(gè)端口就是終端的端口，由于篇幅的原因，這些我就不再截圖了，于是連接終端，進(jìn)入后在ADMINISTRATOR這個(gè)管理員用戶的桌面上建了一個(gè)TXT的文件，里面寫了幾句話，提個(gè)醒。
　　現(xiàn)在我拿到了管理員權(quán)限，因?yàn)槭亲约杭业姆?wù)器，所以就把這兩個(gè)BUG給補(bǔ)好吧，首先先把c:\winnt\system32\inetsrv\data這個(gè)目錄的Everyone刪掉就可以了，這樣就不能寫入文件了，Everyone權(quán)限是所有用戶的意思，只要加上這個(gè)權(quán)限，不管是ADMINISTRATORS權(quán)限還是GUESTS權(quán)限，都包括在Everyone權(quán)限里，然后就是修補(bǔ)SERV-U這個(gè)BUG了，在這里我用藏鯨閣里開發(fā)的一個(gè)工具，用法很簡(jiǎn)單，打開后點(diǎn)擊"選擇"按扭選擇SERV-U所在的目錄，然后在第一行"管理端口"里改一下那個(gè)致命的端口，再在下面的"管理帳號(hào)"里改一下SERV-U里的那個(gè)管理員用戶，在這里要注意了，長度一定要為18個(gè)字符，如果長了或短了很可能會(huì)出現(xiàn)意外的錯(cuò)誤，下面的"管理密碼"也要改，長度一定要是14個(gè)字符，都填好修改的內(nèi)容后點(diǎn)下面的"修改"按扭，如果成功會(huì)提示修改成功的對(duì)話框，不過一定要注意，在修改之前，必須要把SERV-U的所有進(jìn)程和服務(wù)都關(guān)掉！

五、總結(jié)
　　經(jīng)過依冰測(cè)試，通過此方法入侵，我一夜就搞定了四臺(tái)空間服務(wù)器，根本上是IIS5.0 SERV-U，有一個(gè)WEBSHELL就可以搞得定，因?yàn)檫@是WIN2000默認(rèn)配置的權(quán)限，而且又在系統(tǒng)目錄里，所以一般沒有管理員去特意的配置它。希望國內(nèi)多多重視一下網(wǎng)絡(luò)安全，好了，就到這里吧，如果文中有什么錯(cuò)誤或不明白的地方，可以來X檔案官方論壇和我探討。（相關(guān)程序都已經(jīng)收錄）