首先來幾個網址先了解一下
https://www.jb51.net/article/166405.htm
https://www.freebuf.com/articles/web/172561.html
總結:
一、漏洞描述:
此漏洞實際是由HTTP請求中舊DOS 8.3名稱約定(SFN)的代字元(~)波浪號引起的。它允許遠端攻擊者在Web根目錄下公開檔案和資料夾名稱(不應該可被訪問)。攻擊者可以找到通常無法從外部直接訪問的重要檔案,並獲取有關應用程式基礎結構的資訊。
二、漏洞原理
==》IIS短檔名漏洞原理:
IIS的短檔名機制,可以暴力猜解短檔名,訪問構造的某個存在的短檔名,會返回404,訪問構造的某個不存在的短檔名,返回400。
==》漏洞成因:
為了相容16位MS-DOS程式,Windows為檔名較長的檔案(和資料夾)生成了對應的windows 8.3短檔名。
在Windows下檢視對應的短檔名,可以使用命令dir /x
==》短檔名特徵:
1.只顯示前6位的字元,後續字元用~1代替。其中數字1是可以遞增。如果存在檔名類似的檔案,則前面的6個字元是相同的,後面的數字進行遞增
2.字尾名最長只有3位,超過3位的會生成短檔名,且字尾多餘的部分會截斷。
3.所有小寫字母均轉換成大寫的字母
4.長檔名中包含多個”.”的時候,以檔案最後一個”.”作為短檔名的字尾
5.長檔名字首/資料夾名字元長度符合0-9和A-Z、a-z範圍且需要大於等於9位才會生成短檔名,如果包含空格或者其他部分特殊字元,不論長度均會生成短檔案。
三、漏洞環境搭建及漏洞復現
1、測試環境為windows server 2003 r2,開啟webdav服務和net服務。
四、防禦
1、升級.net framework
2、修改登錄檔鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem 修改NtfsDisable8dot3NameCreation為1。修改完成後,需要重啟系統生效。注:此方法只能禁止NTFS8.3格式檔名建立,已經存在的檔案的短檔名無法移除,需要重新複製才會消失。如果不重新複製,已經存在的短檔名則是不會消失的
2.1重啟系統之後,在網站根目錄(C:\Inetpub\wwwroot)下建立hhhhhhhhhhhhhhhhhhhh.txt,然後檢視是否會生成短檔名。下圖可以看到,沒有生成短檔名,說明防禦生效。
2.2、將wwwroot目錄下檔案複製到另一個back檔案下,然後刪除原wwwroot目錄下所有內容,再把back下的內容重新複製到wwwroot目錄下,這時重新檢視,則不存在短檔名了
五、總結
該漏洞的意義:
1、 猜解後臺地址
2、 猜解敏感檔案,例如備份的rar、zip、.bak、.sql檔案等。
3、 在某些情形下,甚至可以通過短檔名web直接下載對應的檔案。
該漏洞的侷限性:
1、 只能猜解前六位,以及副檔名的前三位。
2、 名稱較短的檔案是沒有相應的短檔名的。
3、 不支援中文檔名
4、 如果檔名前6位帶空格,8.3格式的短檔名會補進,和真實檔名不匹配
5、 需要IIS和.net兩個條件都滿足。
好的,上面全是複製貼上,大概瞭解一下了吧
下面開始實戰:
首先github有開源工具 https://github.com/lijiejie/IIS_shortname_Scanner,可以直接下載,需要python2環境【因為p2和p3語法有比較大的差距,使用py3需要修改原始碼語法,沒有必要】。
①環境搭建:
這裡選取window2003的IIS6來複現IIS短檔名漏洞,攻擊機使用kali,不用win7是因為裝了python3,懶得重新安裝python2環境了。開時Web伺服器的三個配置,訪問cms網站成功,開時操作。
②攻擊靶機
kali ip為192.168.3.110,windows2003是192.168.3.48,kali ping 2003伺服器成功,證明兩者連通性,在github下載的工具目錄下執行:python2 iis_shortname_Scan.py 192.168.3.48,報錯,137行 if not s.isvul():
檢視下載的配置檔案 iis_shortname_Scan.py,使用編輯器開啟,vi iis_shortname_Scan.py,檢視137行的if not s.isvul(),根據引數target可以看到應該是傳參錯誤,上面有個參考,前面+http://
重新再來,python2 iis_shortname_Scan.py http://192.168.3.48
可以看見上面,py指令碼成功執行,也猜解正確了短檔名。
③ 實戰環境,開啟代理
1.拿到一個XX市XX單位站點,必須為為IIS+asp伺服器,網站XXX
使用Payload開擼:python2 iis_shortname_Scan.py http://目標網站
失敗!哪有一帆風順的事情,看到剛才原始碼,這是139行的print,Server is not vulunerable 證明無此漏洞,繼續。
2.再戰,paylaod: python2 iis_shortname_Scan.py 目標站點
確實有上面短檔名,證明該網站IIS短檔名漏洞真實存在。
修復建議:參考最前面的文件說明。
特別宣告:
由於傳播、利用此文所提供的資訊而造成的任何直接或者間接的後果及損失,均由使用者本人負責,我不為此承擔任何責任。
作者有對此文章的修改和解釋權。如欲轉載或傳播此文章,必須保證此文章的完整性,包括版權宣告等全部內容。未經作者的允許,不得任意修改或者增減此文章內容,不得以任何方式將其用於商業目的。 切勿用於非法,僅供學習參考