服务器中了 aspx 的木马,从站点入侵到服务器

2021-10-30 10:53:29 +08:00
 imydou

服务器是用 Plesk 配置的,每个 iis 站点都是独立用户

居然能看到磁盘根目录和全部用户,不知道是哪里没设置对,请各位指教。

这是木马源文件

https://www.aliyundrive.com/s/1YZ4QJUc2xA

登陆密码:4399

1660 次点击
所在节点    服务器
5 条回复
illl
2021-10-31 02:03:41 +08:00
不是应该查一下日志,看看怎么被入侵的先嘛
imydou
2021-10-31 08:48:45 +08:00
@illl 是一个有历史的 asp 网站,有上传任意文件漏洞。我搞不明白每个站点都是独立用户,为什么上传木马能有这么高的权限直接拿下服务器
illl
2021-10-31 10:22:39 +08:00
@imydou systeminfo 查查哪些有哪些补丁没打导致提权
R3m1x
2021-12-28 18:08:27 +08:00
先文件上传,脚本木马也就是 webshell 的权限会继承你中间件的系统权限,如果 apche/nginx/iis 是以管理员 administrator 或者 root 权限启的,那么从 webshell 可直接调用系统命令执行管理员权限才能执行的命令,比如创建用户。
R3m1x
2021-12-28 18:10:31 +08:00
你截图的顶部菜单有 cmd 命令,你可以 whoami 看下,如果没做降权处理的话那么就是管理员权限

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/811687

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX