不知大家是否看到一些关于在微软的IIS中建立"隐藏虚拟目录"的文章或录象,为了照顾初学者,我再简单介绍一下:
大体是在网站的"根目录"下新建立一个"文件夹"如"icyfox",然后在所建立的文件夹"icyfox"下建立一个虚拟目录如"lovelace",使"lovelace"指向你在机器上建立的主页或"IIS后门"的目录路径,然后把网站的"根目录"下建立的新文件夹"icyfox"删除,这样原来显示在"Internet 服务管理器"中目录"icyfox"连同"lovelace"就会消失不见,而你却可以得到一个类似"http://www.*****.***/icyfox/lovelace/"的隐蔽访问地址,于是一个隐藏的主页或IIS后门就这样诞生啦!
也许大家看到这个想到的首先是又有一个隐蔽自己的方法可以用啦,自己快去把肉鸡打扮一下变成主页去,但你可曾想过它是否真的是隐蔽的?如果自己是管理员又该如何防范这种"隐蔽方式"?
当我第一次看到这种隐蔽方法时,也曾欣喜,但冷静下来想想,既然我们还可以访问这个"隐藏的虚拟目录",那么"IIS"一定在某个地方保存着这种映射关系,不然我们不可能通过网络来访问,于是我通过用文件和注册表监视工具"FileMon"、"RegMon"进行监视,但却不知是何原因却无法找到被改写的文件或注册表项,后来通过询问网友"动鲨"得知"IIS"的配置保存在系统目录下inetsrv目录中的"MetaBase.bin"文件中的,在这个文件中保存着虚拟目录的映射关系,(可我再次用FileMon监视,还是无法获得对文件MetaBase.bin的操作,请知道原因的网友给个答案!QQ:76416026谢谢你!)
看到这里大家应该已经明白,所谓的隐藏大概只是"Internet 服务管理器"在显示虚拟目录时的一个BUG而已,如果对MetaBase.bin进行分析是可以找到"隐藏虚拟目录"的,但这样做也太麻烦啦!
有没有啥好的工具来完成这个任务呢?当然有!不然我也不会写这篇文章啦!那就是同样是微软的"管理工具"中的"Personal Web Server",也就是"PWS"个人WEB管理器,它可是专门用来管理"WEB 站点"的,同样在安装"IIS"时也是默认安装的一个工具,在这里所有的虚拟目录都会清清楚楚的摆在你的面前。
建立一个"隐藏虚拟目录"后,打开"PWS"个人WEB管理器,点击左侧的"高级",进入高级选项,这里的"虚拟目录"下的框中显示着所有的虚拟映射关系,如图一:
图中清楚的显示出"icyfox"以及它下面的"lovelace"虚拟目录;
我们再打开"Internet 服务管理器",如图二:
在图二中我们却看不到"icyfox"或"lovelace"虚拟目录的影子!
到这里这个所谓的"隐藏虚拟目录"就完完全全的暴露在你或者是你的肉鸡管理员眼皮底下啦!试问这样的隐藏你还想用吗?你还敢用吗?也许你的"肉鸡"就是这样飞的!网站管理员们也请你们用"PWS"仔细检查一下自己的服务器是不是有"可疑的虚拟目录",发现后要赶快清理后门呀!
后记之意外发现:
在研究这个"隐藏虚拟目录"问题时发现了一个好玩的关于利用注册表建立多层"虚拟目录"的现象,一并献给大家,也许它并没有啥用途?大家知道在注册表"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots"项下存放着网站根目录下建立的虚拟目录的映射关系,我实验发现在这个项下面可以快速建立多层次"虚拟目录",方法如下:
建立如下注册表文件"xunimulu.reg":
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots]
"/a/b/c/d/e/f/g/hicyfox"="G:\\我的主页,,217"
把xunimulu.reg导入注册表,如果"IIS"重起,则会自动把你导入的内容删除,但同时也会为你建立"/a/b/c/d/e/f/g/hicyfox"的虚拟目录,其中"hicyfox"指向"G:\我的主页"目录(如图三),你可以用"http://www.*****.***/a/b/c/d/e/f/g/hicyfox/"来访问,用这种方式建立的"虚拟目录"在"Internet 服务管理器"同样是处于隐藏状态,在"PWS"中现原形!
最后说明:
这篇文章没有任何技术含量,我只是想通过它来向广大"黑友"发出要"怀疑一切"的口号!让我们在"怀疑"中共同进步,测试中求新知,"怀疑"是最好的老师!
