17站長(zhǎng)網(wǎng) › 首頁(yè) ›安全› 漏洞分析 › 查看內(nèi)容

IIS短文件和文件夾泄漏漏洞的分析

2022-9-27 15:16| 查看: 2766 |來(lái)源: 互聯(lián)網(wǎng)

IIS是有微軟使用微軟windows功能擴(kuò)展模塊創(chuàng)建的一套web服務(wù)器應(yīng)用程序，是世界上第三個(gè)最流行的服務(wù)器。
漏洞描述:
漏洞研究小組發(fā)現(xiàn)了一個(gè)微軟IIS的漏洞,攻擊者可以利用一個(gè)包含"~"的get請(qǐng)求,來(lái)讓服務(wù)器上的文件和文件夾被泄漏、
影響版本:
IIS 1.0, Windows NT 3.51
IIS 2.0, Windows NT 4.0
IIS 3.0, Windows NT 4.0 Service Pack 2
IIS 4.0, Windows NT 4.0 Option Pack
IIS 5.0, Windows 2000
IIS 5.1, Windows XP Professional and Windows XP Media Center Edition
IIS 6.0, Windows Server 2003 and Windows XP Professional x64 Edition
IIS 7.0, Windows Server 2008 and Windows Vista
IIS 7.5, Windows 7 (遠(yuǎn)程開(kāi)啟了錯(cuò)誤或者沒(méi)有web.config配置文件的情況下)
IIS 7.5, Windows 2008 (經(jīng)典托管管道模式)
漏洞分析與利用:
如果網(wǎng)站是運(yùn)行在IIS服務(wù)器上，可以通過(guò)"~"來(lái)發(fā)現(xiàn)一些文件和文件夾,攻擊者可以發(fā)現(xiàn)重要的文件或者文件夾，如果這些文件或者文件夾是正規(guī)的可見(jiàn)文件.
關(guān)于此漏洞的深入分析可以參考以下連接中的文章：
http://soroush.secproject.com/blog/2012/06/microsoft-iis-tilde-character-vulnerabilityfeature-short-filefolder-name-disclosure/
漏洞詳細(xì)說(shuō)明:
一直在尋找一種方法，如果我可以使用通配符"*" 和"?"發(fā)送一個(gè)請(qǐng)求到iis,我意識(shí)到當(dāng)IIS接收到一個(gè)文件路徑中包含"~"的請(qǐng)求時(shí)，它的反應(yīng)是不同的.基于這個(gè)特點(diǎn)，我們可以根據(jù)http的響應(yīng)區(qū)分一個(gè)可用或者不可用的文件.在以下的表中,文件validxxx.xxx是存在于網(wǎng)站服務(wù)器根目錄的.(備注:xxx.xxx是指不確定,還需要繼續(xù)猜解判斷).下圖主要是不同版本的IIS返回根據(jù)請(qǐng)求的返回錯(cuò)誤來(lái)判斷是否存在某個(gè)文件.
舉例說(shuō)明如果一個(gè)IIS6網(wǎng)站http://www.xxx.com的短文件猜解方法
請(qǐng)求http:// /a*~1*/.aspx 返回404，就說(shuō)明存在a開(kāi)頭的一個(gè)axxx.xxx的文件.(其中xxx.xxx還需要進(jìn)一步確定判斷是什么字母,什么后綴).
請(qǐng)求http://www.xxx.com/a*~1*/.aspx 返回400,說(shuō)明不存在a開(kāi)頭的一個(gè)axxx.xxx的文件.(其中xxx.xxx還需要進(jìn)一步確定判斷是什么字母,什么后綴).
IIS5.X的判斷方法如下:
請(qǐng)求/a*~1* 返回404 說(shuō)明存在a開(kāi)頭的一個(gè)文件。
請(qǐng)求/a*~1* 返回400 說(shuō)明不存在a開(kāi)頭的一個(gè)文件.
IIS7.x.net 2 no error handing判斷方法如上圖，各位仔細(xì)看.
下面附上一個(gè)IIS6猜解文件的全過(guò)程。
測(cè)試地址：http://sdl.me/AcSecret.html acsecret.html是存在于服務(wù)器上的.猜解過(guò)程如下圖:
附上詳細(xì)的poc和漏洞利用說(shuō)明文件:
PoC: http://www.exploit-db.com/sploits/19525.zip
Paper: http://www.exploit-db.com/download_pdf/19527
漏洞修復(fù)方案：
使用微軟或者安全廠商提供的解決方案
使用配置好的Web應(yīng)用防護(hù)系統(tǒng)(拒絕丟棄掉包含"~"線的Web請(qǐng)求)可能會(huì)起到對(duì)此漏洞進(jìn)行防范的作用.
漏洞發(fā)現(xiàn)者:
Soroush Dalili (@irsdl)
Ali Abbasnejad
漏洞參考：
http://support.microsoft.com/kb/142982/en-us
http://soroush.secproject.com/blog/2010/07/iis5-1-directory-authentication-bypass-by-using-i30index_allocation/
站長(zhǎng)評(píng)論：
其實(shí)這是個(gè)很雞肋的“漏洞”……
首先，如果文件名符合8.3規(guī)范的文件（文件名主體部分小于等于8個(gè)字節(jié)、擴(kuò)展名部分小于等于3個(gè)字節(jié)），則根本沒(méi)有短文件名。
其次，漢字和特殊符號(hào)等字符的猜解，也是很蛋疼的問(wèn)題……
最后，即使猜出來(lái)了，也只有前六位，只能靠運(yùn)氣碰碰看了……
不過(guò)，它還是有不小的用處，也算是很另類的一個(gè)“漏洞”吧……
（提示：如果目標(biāo)站自定義了400、404 錯(cuò)誤頁(yè)面，那么該掃描器是無(wú)法判斷的……）
可以參考下表：
2012/07/04 20:46

!@#!@#~1.TXT !@#!@#!@#.txt
2012/07/04 20:46 !@#!@#.txt
2012/07/04 20:44 012345~1 0123456789
2012/07/04 20:44 1
2012/07/04 20:44 123
2012/07/04 20:44 123456
2012/07/04 20:44 1234567
2012/07/04 20:44 12345678
2012/07/04 20:44 123456~1 123456789
2012/07/04 20:46 啊.txt
2012/07/04 20:46 啊啊啊~1.TXT 啊啊啊啊啊啊啊啊啊.txt
2012/07/04 20:43 29 012345~1.TXT 0123456789.txt
2012/07/04 20:43 29 1.txt
2012/07/04 20:43 29 123.txt
2012/07/04 20:43 29 123456.txt
2012/07/04 20:43 29 1234567.txt
2012/07/04 20:43 29 12345678.txt
2012/07/04 20:43 29 123456~1.TXT 123456789.txt
摘自 Nuclear'Atk 網(wǎng)絡(luò)安全研究中心

下面是針對(duì)漏洞的解決方法：

一直在尋找一種方法，如果我可以使用通配符"*" 和 "?"發(fā)送一個(gè)請(qǐng)求到iis，我意識(shí)到當(dāng)IIS接收到一個(gè)文件路徑中包含"~"的請(qǐng)求時(shí)，它的反應(yīng)是不同的.基于這個(gè)特點(diǎn)，我們可以根據(jù)http的響應(yīng)區(qū)分一個(gè)可用或者不可用的文件。在以下的表中，文件validxxx.xxx是存在于網(wǎng)站服務(wù)器根目錄的。(備注:xxx.xxx是指不確定，還需要繼續(xù)猜解判斷)。下圖主要是不同版本的IIS返回根據(jù)請(qǐng)求的返回錯(cuò)誤來(lái)判斷是否存在某個(gè)文件。

舉例說(shuō)明如果一個(gè)IIS6網(wǎng)站http://www.xxx.com的短文件猜解方法。（注意一定要支持aspx，可用x.aspx判斷）

請(qǐng)求 http://www.xxx.com/a*~1*/.aspx 返回404，就說(shuō)明存在a開(kāi)頭的一個(gè)axxx.xxx的文件(其中xxx.xxx還需要進(jìn)一步確定判斷是什么字母,什么后綴)。

請(qǐng)求http://www.xxx.com/a*~1*/.aspx 返回400，說(shuō)明不存在a開(kāi)頭的一個(gè)axxx.xxx的文件(其中xxx.xxx還需要進(jìn)一步確定判斷是什么字母,什么后綴)。

防范方法

危害級(jí)別：輕微

IIS短文件名泄露漏洞

WASC Threat Classification

描述： Microsoft IIS在實(shí)現(xiàn)上存在文件枚舉漏洞，攻擊者可利用此漏洞枚舉網(wǎng)絡(luò)服務(wù)器根目錄中的文件。

1.Internet Information Services（IIS，互聯(lián)網(wǎng)信息服務(wù)）是由微軟公司提供的基于運(yùn)行Microsoft Windows的互聯(lián)網(wǎng)基本服務(wù)。

Microsoft IIS在實(shí)現(xiàn)上存在文件枚舉漏洞，攻擊者可利用此漏洞枚舉網(wǎng)絡(luò)服務(wù)器根目錄中的文件。

危害：攻擊者可以利用“~”字符猜解或遍歷服務(wù)器中的文件名，或?qū)IS服務(wù)器中的.Net Framework進(jìn)行拒絕服務(wù)攻擊。

解決方案：

1.關(guān)閉NTFS 8.3文件格式的支持。該功能默認(rèn)是開(kāi)啟的，對(duì)于大多數(shù)用戶來(lái)說(shuō)無(wú)需開(kāi)啟。

如果是虛擬主機(jī)空間用戶，請(qǐng)聯(lián)系空間提供商進(jìn)行修復(fù)。

修改方法：

1）修改注冊(cè)列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值為1,或者，可以直接點(diǎn)此下載，然后運(yùn)行,再重啟下機(jī)器。(此修改只能禁止NTFS8.3格式文件名創(chuàng)建,已經(jīng)存在的文件的短文件名無(wú)法移除)，

2）如果你的web環(huán)境不需要asp.net的支持你可以進(jìn)入Internet 信息服務(wù)(IIS)管理器 --- Web 服務(wù)擴(kuò)展 - ASP.NET 選擇禁止此功能。

3）升級(jí)net framework 至4.0以上版本.

將web文件夾的內(nèi)容拷貝到另一個(gè)位置，比如D:\www到D:\www.back，然后刪除原文件夾D:\www，再重命名D:\www.back到D:\www。如果不重新復(fù)制，已經(jīng)存在的短文件名則是不會(huì)消失的。

攻擊者可以利用“~”字符猜解或遍歷服務(wù)器中的文件名，或?qū)IS服務(wù)器中的.Net Framework進(jìn)行拒絕服務(wù)攻擊。

本文最后更新于 2022-9-27 15:16，某些文章具有時(shí)效性，若有錯(cuò)誤或已失效，請(qǐng)?jiān)诰W(wǎng)站留言或聯(lián)系站長(zhǎng)：17tui@17tui.com

·END·

站長(zhǎng)網(wǎng)微信號(hào)：w17tui，關(guān)注站長(zhǎng)、創(chuàng)業(yè)、關(guān)注互聯(lián)網(wǎng)人 - 互聯(lián)網(wǎng)創(chuàng)業(yè)者營(yíng)銷服務(wù)中心

免責(zé)聲明：本站部分文章和圖片均來(lái)自用戶投稿和網(wǎng)絡(luò)收集，旨在傳播知識(shí)，文章和圖片版權(quán)歸原作者及原出處所有，僅供學(xué)習(xí)與參考，請(qǐng)勿用于商業(yè)用途，如果損害了您的權(quán)利，請(qǐng)聯(lián)系我們及時(shí)修正或刪除。謝謝！

下一篇：黑客Web攻擊的十大原因及抵御十大方法上一篇：黑客入門之漏洞分類及進(jìn)一步發(fā)掘

17站長(zhǎng)網(wǎng)微信二維碼

始終以前瞻性的眼光聚焦站長(zhǎng)、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域，為您提供最新最全的互聯(lián)網(wǎng)資訊，幫助站長(zhǎng)轉(zhuǎn)型升級(jí)，為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營(yíng)銷服務(wù)，與站長(zhǎng)一起進(jìn)步！讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)！

掃一掃，關(guān)注站長(zhǎng)網(wǎng)微信

亚洲国产精品人久久,亚洲va国产日韩欧美精品色婷婷,久久久久88色偷偷,免费人成黄页在线观看国际

IIS短文件和文件夾泄漏漏洞的分析

大家都在看

相關(guān)分類

熱門排行

最近更新