黑色海岸线论坛 - Powered by Discuz! Board

标题: 请教,IIS的web目录跳转问题 [打印本页]

作者: cmdshell 时间: 2005-5-10 17:27 标题: 请教,IIS的web目录跳转问题

一台win2000虚拟主机,因为改主机用户比较多,大约500USER,所以安全上嘛,自然不可小视,通过漏洞得到一站点webshell,且该web目录可写
比如这个web的http地址是www.test.com
而该web目录的绝对路径为d:\home\test\www\2005\
查询该站点其他域名,比如test1.com
那么我想这个目录应该对于的绝对路径为d:\homt\test1\
问题就来了,浏览不到,该主机全部为NTFS分区,所有盘均不可浏览
那么怎么可以通过这个shell跳转到其他web目录呢?怎么又能提升权限呢?
旁注入也一样,我估计所有的web目录都相应的做了处理了
另:该主机的帐户N多,都是guest权限,我看说明大概是每个web用户独立提供一个帐号访问的,具体不清楚了,海洋2005没有探测出admin组的
且该主机CMD,wscript等均做了限制
这个管理员确实够责任的啊
斑竹,大虾们劳驾帮个忙
mail:qzdmail@yeah.net
MSN:qzdmail@hotmail.com
QQ:4395457
谢谢,如果我说明的不够详细,可以留言给我,我在具体看一下该主机具体情况

作者: 坏的刚刚好 时间: 2005-5-10 18:59 标题: 请教,IIS的web目录跳转问题

I I S提供Web权限，如读和写， NTFS也有它的读写权限，两者容易引起混淆。
I I S权限与NTFS权限的关键区别在于： Web权限控制允许对HTTP资源执行的HTTP命令， NTFS权限控制用户对硬盘资源的访问权限。
当浏览器发出资源请求时， HTTP命令随头信息一起发送.
只有web目录才给IIS帐户完全控制权,你有一个上传组件吗？

作者: 丢失的蓝色 时间: 2005-5-10 20:05 标题: 请教,IIS的web目录跳转问题

想得到权限有很多方法。问题是你要看台服务器的漏洞所在。然后对症下药。。

作者: cmdshell 时间: 2005-5-11 14:04 标题: 请教,IIS的web目录跳转问题

权限我还是知道的,系统漏洞就免了吧,FTP是MS自带的,用海洋有些问题,结果如下:
探测系统信息得到如下结果
服务器对象错误 ';ASP 0177 : 80029c4a';
Server.CreateObject 失败
/2005/UploadSoft/mm，行2107 (mm为我上传的ASP木马)
加载类型库/DLL 时出错。

使用shell操作提示
Active Server Pages 错误 ';8002802b';
创建对象失败
?
创建对象 ';ws'; 时出错。
FSO我也不知道有没有禁止掉,怎么提权,怎么浏览别的WEB 目录?

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)