Iiswriter结合菜刀，iis6.0 完成通过put方法拿下服务器权限

实验报告

实验环境：虚拟机windows 2003 一台  ，物理机一台，iiswriter工具，中国菜刀工具。

实验要求及目的：

Iiswriter结合菜刀，iis6.0    完成通过put方法拿下服务器权限（iis   http协议本身漏洞）

在虚拟机中搭建网站。

在物理机使用iis工具操作 put提交方法txt  as 等文件，使用 move移动方法将提交的文件改为shell.asp文件。

在物理机使用中国菜刀，使用之前文件里的一句话木马，获取权限，可以控制对方电脑。

实验步骤：

 

第一步：在win2003虚拟机中，配置iis 服务器，在默认网站中，设置目录权限，设置桥接模式。

勾选择webDAV发布 目的是为了开放put方法。

 

开始管理工具  选择iis服务。选择默认网站，右键属性，选择主目录，勾选 脚本 写入 目录浏览等权限 ，点击确定。

查看ip。需要给虚拟机改成桥接模式。

查看工作组也没问题。

查看物理机上面的ipconfig /all   查看vmnet8的ip。

物理机连接到网站。

在虚拟机中写一段 asp代码  可以执行。

第二步：

物理机

在物理机写2.txt文件   将其上传。

这时在虚拟机的网站上看不到上传的内容，需要给来宾账户所有权限。

修改后重新提交

测试：写一句话木马，  使用 put方法 move 方法 ，使用中国菜刀 打开连接，即可获得每个盘的内容。

一句话木马  密是“shezhang”

打开“中国菜刀”

可能内容有问题，改一下内容

在菜刀中 右键添加shell

连接，即可看到ip为192.168.1.103 电脑所有文件。实验成功。