跨站入侵是因为IIS的虚拟目录没有配置好安全的权限，导致只要入侵者攻破空间服务器里的任意一个IIS虚拟空间，上传ASP木马就可以更改其它虚拟目录里的文件。因为IIS允许浏览网页权限的用户都是同一个Internet 来宾帐户，所有的虚拟空间都是以这个Internet 来宾帐户来浏览网页的，所以一旦拥有了一个权限，访问其它站点目录也就有权限了。

    现在我来举一个例子，比如我空间服务器的一个虚拟目录在h:\iisweb\yibing里，“iisweb”这个目录的权限拥有者有System、Administrators、Internet 来宾帐户这三个，而且iisweb这个目录里不光只有yibing这个目录，还有好多虚拟目录，都设置的是System、Administrators、Internet来宾帐户这三个权限，因为都是继承的iisweb这个父系目录的权限。而Internet 来宾帐户所使用的系统用户名为IUSR_NETWORK-STILL，是GUEST权限，设有读取、写入权限。很显然如果iisweb下的yibing这个虚拟目录的网站被攻破，被上传了WebShell，就可以使用这个WwebShell访问iisweb这个目录以及iisweb目录下的所有子目录了。如果iisweb目录下还有一个aaa的虚拟空间目录，我们就可以使用yibing这个虚拟目录下的WebShell改aaa目录下的数据，这样就形成了跨站入侵，其实跨站入侵就是权限配置不当而造成的。

    我不入地狱谁入地狱：用我的网站测试跨站入侵

    这里我用自己的空间服务器做测试，原来20NT的服务器情况和我现在的差不多，大家把我们看成一样的就可以了，另外因为我是空间代理销售商，所以入侵是得到许可的，嘿嘿。我现在要改的主页地址是：http://yibing.3322.org，打开一看，只有一个静态的HTM页面（如图1所示）。

javascript:resizepic(this) border=0>
 
图1

    想改其主页只有得到FTP用户和密码才可以，当然，也可以入侵服务器，拿到管理员权限，然后进行更换，但空间服务器很安全，通过溢出是不可能的，现在只有再找一个和它在同一服务器上的虚拟机，并有ASP程序的，然后找注入点，想办法上传WebShell，最后通过跨站改其主页。

　　想找这台服务器上的其它站点，可以登录http://www.webhosting.info//这个网站查找服务器上捆绑的国际域名。在IE浏览器里输入http://www.webhosting.info/，在“Search:”里输入服务器的IP，然后点击“GO”按扭，就会查到有多少个国际域名指向这台服务器（如图2所示）。

javascript:resizepic(this) border=0>
 
图2

   如果你不想记这么长的网址，可以用桂林老兵编写的虚拟主机站点查询工具，不过它也是通过http://www.webhosting.info/进行查找的，只是用起来更方便些（如图3所示）。

javascript:resizepic(this) border=0>
 
图3

    就这样，我查出了所指向这台服务器的国际域名，然后打开这些网站，找找看哪个站的ASP程序有注入漏洞。呵呵，不幸被我找到了一个动网论坛，是7.0，没有打SP2，可能是刚刚上传的，因为没有开什么版块。就拿它开刀吧，用动网上传漏洞的利用程序上传一个ASP后门，利用方法很简单，黑防以前也有过相关文章，我在这里就不多说了。

　　现在，有了一个WebShell，所有的分区都进不去，看来都加了权限，但是iisweb目录可以浏览（如图4所示）。

javascript:resizepic(this) border=0>
 
图4

    里面有几十个目录，一眼就看到了。现在我们就来改yibing这个目录里的首页，点击进入yibing目录，然后点右边的那个index.htm的“edit”就可以编辑主页了（如图5所示）。

javascript:resizepic(this) border=0>
 
图5

    把要改的数据写在里面，然后点击“保存”按扭，再刷新一下主页看看，是不是被改成刚刚填写的内容了？

    普度众生方能成佛：教你防范跨站入侵

　　现在我来给大家讲讲如何进行防范跨站入侵。有两种方法，第一是把iisweb这个目录Internet 来宾帐户给删掉，只给虚拟目录加上Internet 来宾帐户权限，意思是让入侵浏览不到iisweb目录，这样他就找不到要攻击的虚拟目录了，除非他对空间服务器下的目录都非常熟悉，这种熟悉程序我想管理员都不会有吧？如果不熟悉，就让他自己猜吧，我想猜到的几率是很小的，只要管理员把目录名起的复杂点就可以方法了。第二种方法是给各个虚拟目录加上特定的用户，也就是说有多少个虚拟空间就开多少个系统用户，这样就限制了跨站入侵，因为入侵者只能在自己攻破的那个虚拟目录里活动，跑不到别的虚拟目录里。

　　好了，根据上面的思路，我就来实际做一下吧。先使用第一种方法来实现，打开h盘，选择iisweb目录，点击鼠标右键，选择“属性”，在“属性”里点击“安全”标签，选择“Internet 来宾帐户”（如图6所示）。

javascript:resizepic(this) border=0>
 
图6

    然后删除来宾帐户，再进入iisweb目录，把里面的所有虚拟目录都加上“Internet 来宾帐户”权限，在下面的读取和写入权限上打钩，如果你觉得一个一个的设麻烦，可以全部选择要添加权限的虚拟目录，一并把它们全设了（如图7所示），这样就搞定了。

javascript:resizepic(this) border=0>

图7
现在，我们来做一下第二种方法的防范，打开CMD，先用net user 用户名 /add命令建几个GUESTS权限的用户，然后打开IIS管理器，选择一个要设置的虚拟机，点右键选择属性里的“目录安全性”标签，然后点击上面第一个“编辑”按扭，会出现一个“身份验证方法”的对话框，点“浏览”按扭添加于这个虚拟机相对应刚刚建的系统用户（如图8所示）。

javascript:resizepic(this) border=0>
 
图8

    脚本小子：建立用户的时候，IIS里有几个虚拟机就建几个用户，最后用户名和FTP帐号相同，因为便于管理。

    设置好后确定退出。一定要注意，服务器上有几个虚拟机就加几个Guests权限的用户，然后一个一个的把系统里自带的那个Internet 来宾帐户用这种方法替换掉。

    现在我们来设置虚拟目录的权限，打开iisweb目录，顺便把iisweb目录上的那个系统默认的Internet 来宾帐户删掉，然后一个一个的设虚拟目录，比如我系统里刚刚建了一个yibing的Guests权限用户，而我的一个虚拟机的虚拟目录名也是yibing，就可以把yibing这个Guests权限用户添加到yibing这个虚拟目录上，要读取和写入权限就可以。然后依次这样设置，千万不要把一个用户设在两个不同的虚拟目录上，一般虚拟目录上只设Aministrators权限和刚建的相对应的那个Guests权限用户就可以，把其它的都删掉。记得虚拟机和虚拟目录一定要对应好，如果不对应好虚拟机在被浏览时会出错。第二种方法虽然繁琐点，但是要比第一种方法安全。当你都设好后用WebShell木马检测下，会发现想跨站入侵已经不可能了。

　　现在还有好多空间服务器存在这种问题，还是希望国内的安全意识加强些。好了，就写到这里吧，如果有什么问题可以到《黑客防线》的官方论坛来和我探讨。