实验报告
实验环境:虚拟机windows 2003 一台 ,物理机一台,iiswriter工具,中国菜刀工具。
实验要求及目的:
Iiswriter结合菜刀,iis6.0 完成通过put方法拿下服务器权限(iis http协议本身漏洞)
在虚拟机中搭建网站。
在物理机使用iis工具操作 put提交方法txt as 等文件,使用 move移动方法将提交的文件改为shell.asp文件。
在物理机使用中国菜刀,使用之前文件里的一句话木马,获取权限,可以控制对方电脑。
实验步骤:
第一步:在win2003虚拟机中,配置iis 服务器,在默认网站中,设置目录权限,设置桥接模式。
勾选择webDAV发布 目的是为了开放put方法。
开始管理工具 选择iis服务。选择默认网站,右键属性,选择主目录,勾选 脚本 写入 目录浏览等权限 ,点击确定。
查看ip。需要给虚拟机改成桥接模式。
查看工作组也没问题。
查看物理机上面的ipconfig /all 查看vmnet8的ip。
物理机连接到网站。
在虚拟机中写一段 asp代码 可以执行。
第二步:
物理机
在物理机写2.txt文件 将其上传。
这时在虚拟机的网站上看不到上传的内容,需要给来宾账户所有权限。
修改后重新提交
测试:写一句话木马, 使用 put方法 move 方法 ,使用中国菜刀 打开连接,即可获得每个盘的内容。
一句话木马 密是“shezhang”
打开“中国菜刀”
可能内容有问题,改一下内容
在菜刀中 右键添加shell
连接,即可看到ip为192.168.1.103 电脑所有文件。实验成功。