实验六 IIS写权限漏洞提权实验_第1页
实验六 IIS写权限漏洞提权实验_第2页
实验六 IIS写权限漏洞提权实验_第3页
实验六 IIS写权限漏洞提权实验_第4页
实验六 IIS写权限漏洞提权实验_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、实验六 IIS写权限漏洞提权实验教学目的与要求:1. 了解IIS写权限漏洞的概念2. 掌握IIS写权限攻击的过程3. 了解IIS写权限漏洞的有效防范措施实验环境:1. 小型局域网,其中一台充当服务器,安装教师提供的具有漏洞的网站2. Windows XP 系统平台 虚拟机平台教学过程:一、准备知识写权限漏洞主要跟IIS的webdav服务扩展还有网站的一些权限设置有关系。Webdav的一些官方介绍:允许客户发布、锁定和管理Web上的资源,它允许客户端执行以下操作:1、处理资源,处理服务器上WebDAV发布目录中的资源。例如,具有正确权限的用户可以在WebDAV目录中复制和移动文件。2、修改属性,

2、修改与某些资源相关联的属性。例如,用户可写入并检索文件的属性信息。3、锁定资源和解除资源锁定,以便多个用户可以同时度取一个文件。不过每次只有一个用户能修改该文件。4、搜索位于WebDAV目录中的文件的内容和属性。WebDAV是一套扩展HTTP协议,允许用户共同编辑和管理的文件远程网络服务器,使应用程序可以直接写文件在web服务器上,在内容管理系统方面应用的比较多。如果在IIS-web服务扩展下开启webdav服务,IIS put scan就会返回存在漏洞,否则就会返回没有漏洞。在IIS网站属性主目录下设置:1、读取权限:用户可以访问网站的文件,建立网站的时候默认读取权限。2、写入权限:用户可以

3、写入文件到网站目录,也就是前面所说的写权限漏洞,前提是开启写入权限。3、脚本资源访问:用户对网站目录的脚本文件有操作的权限。4、目录浏览:用户可以查看网站目录的所有文件和目录,前提是开启读取权限。二、实验步骤1、配置win2003server中提供的嘉枫文章管理系统。打开IIS服务器选择默认网站(右键属性)文档中添加default.asp将本地路径修改为文章管理系统所在路径。3、打开桂林老兵的IIS写权限利用工具,在域名处填写目标主机的IP,然后上传ASP木马(木马的扩展名已经改成txt),数据包格式为put,点击“提交数据包”,提示上传成功。4、将PUT该成MOVE再次提交。5、可以看到网马路径为。6、打开asp网页木马远程管理7、输入默认的管理员密码123456,进入远程管理平台7、输入默认的管理员密码123456,进入远程管理平台8、可查看到win2003 server上web目录的所有文件,并可修改网页,和上 传文件和新建目录。三、实验调查: 我会做了我不会做我知道这项内容的用途我不懂这项内容的用途安装/卸载IIS    在IIS中配置静态和动态网站    利用工具检测IIS漏洞    利用工具提交网页木马 

人人文库> 全部分类> 教育资料 > 辅导培训

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论