V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
imydou
V2EX  ›  服务器

服务器中了 aspx 的木马,从站点入侵到服务器

  •  
  •   imydou · 2021-10-30 10:53:29 +08:00 · 1659 次点击
    这是一个创建于 1118 天前的主题,其中的信息可能已经有所发展或是发生改变。

    服务器是用 Plesk 配置的,每个 iis 站点都是独立用户

    居然能看到磁盘根目录和全部用户,不知道是哪里没设置对,请各位指教。

    这是木马源文件

    https://www.aliyundrive.com/s/1YZ4QJUc2xA

    登陆密码:4399

    5 条回复    2021-12-28 18:10:31 +08:00
    illl
        1
    illl  
       2021-10-31 02:03:41 +08:00 via iPhone
    不是应该查一下日志,看看怎么被入侵的先嘛
    imydou
        2
    imydou  
    OP
       2021-10-31 08:48:45 +08:00 via iPhone
    @illl 是一个有历史的 asp 网站,有上传任意文件漏洞。我搞不明白每个站点都是独立用户,为什么上传木马能有这么高的权限直接拿下服务器
    illl
        3
    illl  
       2021-10-31 10:22:39 +08:00 via iPhone
    @imydou systeminfo 查查哪些有哪些补丁没打导致提权
    R3m1x
        4
    R3m1x  
       2021-12-28 18:08:27 +08:00   ❤️ 1
    先文件上传,脚本木马也就是 webshell 的权限会继承你中间件的系统权限,如果 apche/nginx/iis 是以管理员 administrator 或者 root 权限启的,那么从 webshell 可直接调用系统命令执行管理员权限才能执行的命令,比如创建用户。
    R3m1x
        5
    R3m1x  
       2021-12-28 18:10:31 +08:00   ❤️ 1
    你截图的顶部菜单有 cmd 命令,你可以 whoami 看下,如果没做降权处理的话那么就是管理员权限
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1515 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 23:59 · PVG 07:59 · LAX 15:59 · JFK 18:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.