主頁 > 知識(shí)庫 > IIS短文件名漏洞復(fù)現(xiàn)圖文詳解

IIS短文件名漏洞復(fù)現(xiàn)圖文詳解

熱門標(biāo)簽:漯河電銷外呼系統(tǒng)價(jià)格 貴陽語音電銷機(jī)器人 咸陽穩(wěn)定外呼系統(tǒng)公司 天津外呼系統(tǒng)運(yùn)營商 貴港市機(jī)器人外呼系統(tǒng)團(tuán)隊(duì) ec外呼系統(tǒng)怎么樣 蕪湖呼叫中心外呼系統(tǒng)哪家強(qiáng) 征服者快捷酒店地圖標(biāo)注 電銷機(jī)器人怎么錄音

一、漏洞描述

此漏洞實(shí)際是由HTTP請(qǐng)求中舊DOS 8.3名稱約定(SFN)的代字符(~)波浪號(hào)引起的。它允許遠(yuǎn)程攻擊者在Web根目錄下公開文件和文件夾名稱(不應(yīng)該可被訪問)。攻擊者可以找到通常無法從外部直接訪問的重要文件,并獲取有關(guān)應(yīng)用程序基礎(chǔ)結(jié)構(gòu)的信息。

二、漏洞原理

IIS的短文件名機(jī)制,可以暴力猜解短文件名,訪問構(gòu)造的某個(gè)存在的短文件名,會(huì)返回404,訪問構(gòu)造的某個(gè)不存在的短文件名,返回400。

漏洞成因:

為了兼容16位MS-DOS程序,Windows為文件名較長的文件(和文件夾)生成了對(duì)應(yīng)的windows 8.3短文件名。

在Windows下查看對(duì)應(yīng)的短文件名,可以使用命令dir /x

短文件名特征:

1.只顯示前6位的字符,后續(xù)字符用~1代替。其中數(shù)字1是可以遞增。如果存在文件名類似的文件,則前面的6個(gè)字符是相同的,后面的數(shù)字進(jìn)行遞增

2.后綴名最長只有3位,超過3位的會(huì)生成短文件名,且后綴多余的部分會(huì)截?cái)唷?/p>

3.所有小寫字母均轉(zhuǎn)換成大寫的字母

4.長文件名中包含多個(gè)”.”的時(shí)候,以文件最后一個(gè)”.”作為短文件名的后綴

5.長文件名前綴/文件夾名字符長度符合0-9和A-Z、a-z范圍且需要大于等于9位才會(huì)生成短文件名,如果包含空格或者其他部分特殊字符,不論長度均會(huì)生成短文件。

三、漏洞環(huán)境搭建及漏洞復(fù)現(xiàn)

1、 測試環(huán)境為windows server 2003 r2,開啟webdav服務(wù)和net服務(wù)。

2、使用payload驗(yàn)證目標(biāo)是否存在IIS短文件名漏洞,下圖顯示的404,說明目標(biāo)存在該短文件名

Payload: http://192.168.10.130 /*~1*/a.aspx

http://192.168.10.130/ttt*~1*/a.aspx

注:*可以匹配n個(gè)字符,n可以為0

3、瀏覽器訪問一個(gè)不存在的短文件名,返回”Bad Request(400)”,說明目標(biāo)不存在該短文件名

4、通過瀏覽器訪問上面兩個(gè)payload,根據(jù)返回的結(jié)果,可以說明目標(biāo)存在IIS短文件漏洞

5、判斷漏洞存在后,接下來手工詳細(xì)分析猜解IIS短文件名原理

5.1、在網(wǎng)站根目錄(C:\Inetpub\wwwroot)下創(chuàng)建一個(gè)abcdef123456.txt文件

5.2、瀏覽器分別訪問http://192.168.10.130/a*~1*/a.aspx, http://192.168.10.130/b*~1*/a.aspx

5.3、通過以上兩個(gè)圖片,可以看出存在一個(gè)以a開頭的短文件名

5.4、按照上面的方法依次猜解可以得到http://192.168.10.130/abcdef*~1*/a.aspx,到此,已經(jīng)猜解出來短文件名,到了這一步,需要考慮兩種情況,以abcdef開頭的是一個(gè)文件夾還是一個(gè)文件。

如果以abcdef開頭的是一個(gè)文件夾,那么瀏覽器訪問http://192.168.10.130/abcdef*~1/a.aspx,將返回404,如果abcdef開頭的是一個(gè)文件,需要猜解后綴名

5.5、瀏覽器訪問http://192.168.10.130/abcdef*~1/a.aspx,根據(jù)下圖返回結(jié)果說明以abcdef開頭的不是一個(gè)文件夾,而是一個(gè)文件

5.6、瀏覽器訪問http://192.168.10.130/abcdef*~1.a*/a.aspx,根據(jù)下圖返回說明該短文件后綴的第一位不是a

5.7、用a-z的26個(gè)字母依次替換上述a的位置,當(dāng)替換成t時(shí),返回404頁面,說明該短文件的第一位后綴是t

5.8、按照上面的方法依次猜解得到該短文件名的后綴是txt

5.9、到此為止,已經(jīng)猜解出該短文件名為abcdef~1.txt

6、根據(jù)已經(jīng)猜解出來的短文件名abcdef~1.txt,繼續(xù)猜解出該短文件名的完全文件名為abcdef123456.txt

7、使用IIS短文件名掃描軟件,獲取目標(biāo)存在哪些短文件名

四、漏洞防御

1、升級(jí).net framework

2、修改注冊(cè)表鍵值:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem

修改NtfsDisable8dot3NameCreation為1。修改完成后,需要重啟系統(tǒng)生效。

注:此方法只能禁止NTFS8.3格式文件名創(chuàng)建,已經(jīng)存在的文件的短文件名無法移除,需要重新復(fù)制才會(huì)消失。如果不重新復(fù)制,已經(jīng)存在的短文件名則是不會(huì)消失的

2.1重啟系統(tǒng)之后,在網(wǎng)站根目錄(C:\Inetpub\wwwroot)下創(chuàng)建hhhhhhhhhhhhhhhhhhhh.txt,然后查看是否會(huì)生成短文件名。下圖可以看到,沒有生成短文件名,說明防御生效。

2.2、將wwwroot目錄下文件復(fù)制到另一個(gè)back文件下,然后刪除原wwwroot目錄下所有內(nèi)容,再把back下的內(nèi)容重新復(fù)制到wwwroot目錄下,這時(shí)重新查看,則不存在短文件名了

五、總結(jié)

該漏洞的意義:

1、 猜解后臺(tái)地址

2、 猜解敏感文件,例如備份的rar、zip、.bak、.sql文件等。

3、 在某些情形下,甚至可以通過短文件名web直接下載對(duì)應(yīng)的文件。

該漏洞的局限性:

1、 只能猜解前六位,以及擴(kuò)展名的前三位。

2、 名稱較短的文件是沒有相應(yīng)的短文件名的。

3、 不支持中文文件名

4、 如果文件名前6位帶空格,8.3格式的短文件名會(huì)補(bǔ)進(jìn),和真實(shí)文件名不匹配

5、 需要IIS和.net兩個(gè)條件都滿足。

好了,以上就是這篇文章的全部內(nèi)容了,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,謝謝大家對(duì)腳本之家的支持。

標(biāo)簽:西寧 東營 怒江 淮北 攀枝花 西藏 濰坊 香港

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《IIS短文件名漏洞復(fù)現(xiàn)圖文詳解》,本文關(guān)鍵詞  IIS,短,文件名,漏洞,復(fù)現(xiàn),;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《IIS短文件名漏洞復(fù)現(xiàn)圖文詳解》相關(guān)的同類信息!
  • 本頁收集關(guān)于IIS短文件名漏洞復(fù)現(xiàn)圖文詳解的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章