漏洞概况:Windows Server 2003R2版本IIS6.0的WebDAV服务中的ScStoragePathFromUrl函数存在缓存区溢出漏洞,远程攻击者通过以“If: <http://”开头的长header PROPFIND请求,执行任意代码。目前针对 Windows Server 2003 R2 可以稳定利用,该漏洞最早在2016年7,8月份开始在野外被利用。
漏洞复现
靶机环境:Windows Server 2003 Enterprise Edition SP2
根据漏洞的利用条件:Windows Server 2003 R2开启WebDAV发布服务的IIS 6.0,首先搭建靶机环境,如下图所示:
IIS 6.0开启了WebDAV发布服务。
Github地址:https://github.com/dmchell/metasploit-framework/pull/1/commits/9e8ec532a260b1a3f03abd09efcc44c30e4491c2
进入Kali系统,在metasploit中自定义该漏洞的exp模块。Kali中iis相关利用模块位于/usr/share/metasploit-framework/modules/exploits/windows/iis路径下,因此我们直接执行vi cve-2017-7269,然后将github中的ruby代码放进去即可。
开启PostgreSQL服务,如下图所示:
开启msfconsole,找到CVE-2017-7269相关模块:
使用前面添加的模块CVE-2017-7269,设置目标地址,并执行:
可以看到最后成功创建了session反弹了回来,后面直接输入cmd即可: