使用Adsutil.vbs脚本获取IIS配置信息及账号密码

如上图所示，列出来的信息中包含了网站 id 显示名称 以及路径三个信息，这里我们要记下目标站的 id 为： 360363061 ，路径为： D:\wwwroot\fucksbhack8\wwwroot 。

       现在就得到了目标网站的基本信息了，但是这对我们拿下最终目标站的权限有啥用呢？ 呵呵！不急，我们接下来就要想办法得到这个网站的 iis 用户名和密码，然后使用 bs 大牛写的 webshell 来夸目录。

       当时和龙儿心搞定了目标站路径信息后为得到目标站的 IIS 账号密码还真费了不少功夫，后来还是多亏了龙儿心给我看的一篇文章，仔细看了过后才明白了怎么使用 Adsutil.vbs 来获取 IIS 账号密码。首先搞个 Adsutil.vbs 文件来，文件内容太多，我就不贴出来了，本文中所用到的工具最后我会全部打包。

       搞到 Adsutil.vbs 文件后我们需要改动下内容，我首先搜索 ”If (Attribute = True) Then“ ，然后再下面几行中会看到如下内容：

    If (Attribute = True) Then
         IsSecureProperty = False
    Else
         IsSecureProperty = True
    End If

       首先我们要获取目标站点 IIS 的账号，我们将第一个 IsSecureProperty 的值修改成 IsSecureProperty = False ，然后保存，上传到服务器上。

       在执行的时候我们需要用到之前使用的 vbs 脚本获取到目标网站的 id 值，这里是 360363061 ，然后我们使用 ”cscript C:\recycler\k.vbs enum w3svc/360363061/root“ 命令来获取目标站的 IIS 账号信息。

   如上图所示，成功的获取到目标站 IIS 账号为 sbhack8_web ，接下来我们就是获取密码了，同样的方法还需要将 Adsutil.vbs 文件中刚才修改的地方，将第二个 IsSecureProperty 修改成 IsSecureProperty = False ，然后再把第一个 IsSecureProperty 修改成 IsSecureProperty = True ，既两个的值互相调换一下，然后再执行同样的命令 ”cscript C:\recycler\k.vbs enum w3svc/360363061/root“ 来获取密码信息。

这样就搞到了目标站 IIS 用户的账号和密码了，先就要排 bs 大牛的 shell 上场了，在要使用 BS 大牛的 shell 之前我们还需要改动喜爱 BS 大牛的 shell 内容。

       搜索 bs 大牛 shell 中内容 ”Const bOtherUser=False“ ，然后修改成 ”Const bOtherUser=True“ ，保存，上传到服务器任意网站目录下，当然还是要支持 asp 的了，然后访问，然后出现下图所示内容。

  这里直接点击 OK ，然后稍等下一下就会弹出登陆框了，如下图所示：

然后我们在这里输入刚才得到的目标站的 IIS 账号和密码，然后登陆，成功了的话就会进入 shell 的登录框了。

这里如数 webshell 的密码进入后直接拿目标站的路径跳转，然后就会发现目标站的目录和文件全部列出来了！不 BT 的话是有写入权限的！！方便大家我把文章中提及的工具全部打包了！！

       * 最后补充下，我下来本地测试了下 Adsutil.vbs 的修改地方，我们直接将 If (Attribute = True) Then 下面的两个 IsSecureProperty 值都修改为 True 的时候就会同时列出账号和密码了，没必要获取了账号，然后再修改下去获取密码。

附件下载：
cscript.rar+adsutil.vbs.rar 64.18KB