5
Admin-Rechte per Web?
Ist es irgendwie möglich, dass ein anonymer User, der auf eine ASP-Seite zugreift, dort ein Tool mit Admin-Rechten ausführt?
Hallo zusammen!
Ich habe da so ein Problem: Ich habe eine ASP-Seite programmiert, die mit dem IIS gehostet wird, und der es den Mitarbeitern einer Abteilung ermöglicht, einen VPN-Gastaccount für einen bestimmten Zeitraum zu aktivieren, ein neues Passwort für diesen Account erstellt und das dem freischaltenden Mitarbeiter mitteilt.
Dummerweise braucht der Task Adminrechte, sonst tut er's nicht. Und das ist mein Problem: Wie bekomme ich den IIS dazu, Teile des Codes oder einzelne Dateien mit Admin-Rechten auszuführen?
Ich habe dann aushilfsweise probiert, eine EXE-Datei mit AutoIT zu basteln, die sich erst im Quellcode die Adminrechte schnappt, aber diese Anwendung wird gestartet und bleibt dann im Speicher hängen und tut nix.
Wobei das eigentlich funktionieren sollte:
Ist irgendwas.exe z.B. eine net send Anweisung, dann klappt's prima, aber bei einer eigenen Exe-Datei, die intern auch nur net send ausführt, bleibt's wieder kleben.
Ich bin ziemlich ratlos...
Weiß jemand Rat?
CU,
Stephan
Ich habe da so ein Problem: Ich habe eine ASP-Seite programmiert, die mit dem IIS gehostet wird, und der es den Mitarbeitern einer Abteilung ermöglicht, einen VPN-Gastaccount für einen bestimmten Zeitraum zu aktivieren, ein neues Passwort für diesen Account erstellt und das dem freischaltenden Mitarbeiter mitteilt.
Dummerweise braucht der Task Adminrechte, sonst tut er's nicht. Und das ist mein Problem: Wie bekomme ich den IIS dazu, Teile des Codes oder einzelne Dateien mit Admin-Rechten auszuführen?
Ich habe dann aushilfsweise probiert, eine EXE-Datei mit AutoIT zu basteln, die sich erst im Quellcode die Adminrechte schnappt, aber diese Anwendung wird gestartet und bleibt dann im Speicher hängen und tut nix.
Wobei das eigentlich funktionieren sollte:
Set objWsh = Server.CreateObject("WScript.Shell")
nRetVal = objWsh.Run("%comspec% /c irgendwas.exe", 0, true) Ist irgendwas.exe z.B. eine net send Anweisung, dann klappt's prima, aber bei einer eigenen Exe-Datei, die intern auch nur net send ausführt, bleibt's wieder kleben.
Ich bin ziemlich ratlos...
Weiß jemand Rat?
CU,
Stephan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 28557
Url: https://administrator.de/contentid/28557
Printed on: April 19, 2024 at 03:04 o'clock
5 Comments
Latest comment
Hallo,
du könntest es mal mit "runas" probieren. Mit dem Schalter "/savecred" must du dabei auch nich das Admin-Kennwort im Skript speichern und die Sache ist wohl relativ sicher (Achtung: vor Ausführung durch Skript einmal in Kommandozeile eingebem, beim ersten mal Fragt er nach dem Kennwort).
Daneben könntest du im IIS eine neue Website anlegen und diese Standardtmässig vom Admin ausführen lassen (->Verzeichnissicherheit -> Steuerung des anonymen Zugriffs... -> Bearbeiten -> Admin-Daten eingeben). Das ist aber ziemlich unsicher, weil eben der ganze Prozess dann mit Admin-Rechten läuft.
Filipp
du könntest es mal mit "runas" probieren. Mit dem Schalter "/savecred" must du dabei auch nich das Admin-Kennwort im Skript speichern und die Sache ist wohl relativ sicher (Achtung: vor Ausführung durch Skript einmal in Kommandozeile eingebem, beim ersten mal Fragt er nach dem Kennwort).
Daneben könntest du im IIS eine neue Website anlegen und diese Standardtmässig vom Admin ausführen lassen (->Verzeichnissicherheit -> Steuerung des anonymen Zugriffs... -> Bearbeiten -> Admin-Daten eingeben). Das ist aber ziemlich unsicher, weil eben der ganze Prozess dann mit Admin-Rechten läuft.
Filipp
Hi Filipp!
Danke für die schnelle Antwort, aber /savecred will ich nicht benutzen, weil dann der Rechner, der den IIS ausführt, enorm unsicher wird... Ich probiere mal das mit dem anderen Web aus, vielleicht klappt das ja, ich melde mich wieder
Cu,
Stephan
Danke für die schnelle Antwort, aber /savecred will ich nicht benutzen, weil dann der Rechner, der den IIS ausführt, enorm unsicher wird... Ich probiere mal das mit dem anderen Web aus, vielleicht klappt das ja, ich melde mich wieder
Cu,
Stephan
Ich glaube, ich stelle mich dumm an. Ich habe in der Verzeichnissicherheit die Admin-Daten eingetragen und habe trotzdem nur die IUSR-XXX Rechte von vorher.
Stephan
Stephan
Sonst bau doch eine Authentifizierung ein, wo sich nur ein Administrator anmelden kann. Das kannst du im IIS einstellen (Ordnerspezifisch).
Danke für die Antwort, aber das geht an der Aufgabenstellung vorbei... Ich will, dass NICHT-Admins vordefinierte Admin-Dinge ausführen können.
Das Problem ist auch gelöst, ich habe mich von meinem Windows 2000 IIS gelöst und habe das Projekt auf Windows 2003 Server portiert. Nun geht alles wie es soll.
Vielen Dank trotzdem an alle!
Mfg,
Stephan
Das Problem ist auch gelöst, ich habe mich von meinem Windows 2000 IIS gelöst und habe das Projekt auf Windows 2003 Server portiert. Nun geht alles wie es soll.
Vielen Dank trotzdem an alle!
Mfg,
Stephan
