IIS短檔名漏洞原理與挖掘思路

pandana發表於2021-08-10

首先來幾個網址先了解一下

https://www.jb51.net/article/166405.htm

https://www.freebuf.com/articles/web/172561.html

總結：

一、漏洞描述：
此漏洞實際是由HTTP請求中舊DOS 8.3名稱約定(SFN)的代字元(~)波浪號引起的。它允許遠端攻擊者在Web根目錄下公開檔案和資料夾名稱(不應該可被訪問)。攻擊者可以找到通常無法從外部直接訪問的重要檔案,並獲取有關應用程式基礎結構的資訊。

二、漏洞原理
==》IIS短檔名漏洞原理：
IIS的短檔名機制,可以暴力猜解短檔名,訪問構造的某個存在的短檔名,會返回404,訪問構造的某個不存在的短檔名,返回400。
==》漏洞成因:
為了相容16位MS-DOS程式,Windows為檔名較長的檔案(和資料夾)生成了對應的windows 8.3短檔名。
在Windows下檢視對應的短檔名,可以使用命令dir /x
==》短檔名特徵:
1.只顯示前6位的字元,後續字元用~1代替。其中數字1是可以遞增。如果存在檔名類似的檔案,則前面的6個字元是相同的,後面的數字進行遞增
2.字尾名最長只有3位,超過3位的會生成短檔名,且字尾多餘的部分會截斷。
3.所有小寫字母均轉換成大寫的字母
4.長檔名中包含多個”.”的時候,以檔案最後一個”.”作為短檔名的字尾
5.長檔名字首/資料夾名字元長度符合0-9和A-Z、a-z範圍且需要大於等於9位才會生成短檔名,如果包含空格或者其他部分特殊字元,不論長度均會生成短檔案。

三、漏洞環境搭建及漏洞復現
1、測試環境為windows server 2003 r2，開啟webdav服務和net服務。

四、防禦
1、升級.net framework
2、修改登錄檔鍵值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem 修改NtfsDisable8dot3NameCreation為1。修改完成後,需要重啟系統生效。注:此方法只能禁止NTFS8.3格式檔名建立,已經存在的檔案的短檔名無法移除,需要重新複製才會消失。如果不重新複製，已經存在的短檔名則是不會消失的
2.1重啟系統之後,在網站根目錄(C:\Inetpub\wwwroot)下建立hhhhhhhhhhhhhhhhhhhh.txt,然後檢視是否會生成短檔名。下圖可以看到,沒有生成短檔名,說明防禦生效。
2.2、將wwwroot目錄下檔案複製到另一個back檔案下,然後刪除原wwwroot目錄下所有內容,再把back下的內容重新複製到wwwroot目錄下,這時重新檢視,則不存在短檔名了

五、總結
該漏洞的意義:
1、猜解後臺地址
2、猜解敏感檔案,例如備份的rar、zip、.bak、.sql檔案等。
3、在某些情形下,甚至可以通過短檔名web直接下載對應的檔案。
該漏洞的侷限性:
1、只能猜解前六位,以及副檔名的前三位。
2、名稱較短的檔案是沒有相應的短檔名的。
3、不支援中文檔名
4、如果檔名前6位帶空格，8.3格式的短檔名會補進，和真實檔名不匹配
5、需要IIS和.net兩個條件都滿足。

好的，上面全是複製貼上，大概瞭解一下了吧

下面開始實戰：

首先github有開源工具 https://github.com/lijiejie/IIS_shortname_Scanner，可以直接下載，需要python2環境【因為p2和p3語法有比較大的差距，使用py3需要修改原始碼語法，沒有必要】。

①環境搭建：

這裡選取window2003的IIS6來複現IIS短檔名漏洞，攻擊機使用kali，不用win7是因為裝了python3，懶得重新安裝python2環境了。開時Web伺服器的三個配置，訪問cms網站成功，開時操作。

在網站的根目錄 c:\inetpub\wwroot下使用 dir /x命令，可見確實有短檔名存在。

②攻擊靶機

kali ip為192.168.3.110，windows2003是192.168.3.48，kali ping 2003伺服器成功，證明兩者連通性，在github下載的工具目錄下執行：python2 iis_shortname_Scan.py 192.168.3.48，報錯，137行 if not s.isvul():