IIS 是 Internet Information Services 的缩写,意为互联网信息做事,是由微软公司供应的基于运行 Microsoft Windows 的互联网基本做事。最初是 Windows NT 版本的可选包,随后内置在 Windows 2000 、Windows XP Professional 和 Windows Server 2003 一起发行,但在 Windows XP Home 版本上并没有 IIS 。
IIS 是一种 Web(网页)做事组件,个中包括 Web 做事器、FTP 做事器、NNTP 做事器和 SMTP 做事器,分别用于网页浏览、文件传输、新闻做事和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很随意马虎的事。
IIS 的安全薄弱性曾永劫光被业内诟病,一旦 IIS 涌现远程实行漏洞威胁将会非常严重。远程实行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未精确剖析经分外设计的 HTTP 要求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的高下文中实行任意代码,可以导致 IIS 做事器所在机器蓝屏或读取其内存中的机密数据。
二、PUT漏洞
1、漏洞先容及成因
IIS Server 在 Web 做事扩展中开启了 WebDAV ,配置了可以写入的权限,造成任意文件上传。
版本:IIS 6.0
2、漏洞复现
1)开启 WebDAV 和写权限
2)利用 burp 测试
抓包,将 GET 要求改为 OPTIONS
3)利用工具进行测试
成功上传,再上传一句话木马,然后用菜刀连接,getshell
3、漏洞修复
关闭 WebDAV 和写权限
三、短文件名猜解
1、漏洞先容及成因
IIS 的短文件名机制,可以暴力猜解短文件名,访问布局的某个存在的短文件名,会返回404,访问布局的某个不存在的短文件名,返回400。
2、漏洞复现
1 )在网站根目录下添加aaaaaaaaaa.html文件
2 )进行猜解
3)漏洞修复
修复方法:
a) 升级 .net framework
b) 修正注册表禁用短文件名功能
快捷键 Win+R 打开命令窗口,输入 regedit 打开注册表窗口,找到路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem,将个中的 NtfsDisable8dot3NameCreation这一项的值设为 1,“1”代表不创建短文件名格式,修正完成后,须要重启系统生效
c)CMD 关闭 NTFS 8.3 文件格式的支持
d)将 web 文件夹的内容拷贝到另一个位置,如 c:\www 到 d:\w ,然后删除原文件夹,再重命名 d:\w 到 c:\www。
修复后:
4)局限性
a) 此漏洞只能确定前6个字符,如果后面的字符太长、包含分外字符,很难猜解
b) 如果文件名本身太短(无短文件名)也是无法猜解的
c) 如果文件名前6位带空格,8.3格式的短文件名会补进,和真实文件名不匹配
四、远程代码实行
1、漏洞先容及成因
在 IIS6.0 处理 PROPFIND 指令的时候,由于对 url 的长度没有进行有效的长度掌握和检讨,导致实行 memcpy 对虚拟路径进行布局的时候,引发栈溢出,从而导致远程代码实行。
2、漏洞复现
1 )漏洞环境搭建
在 windows server 2003 r2 32位上安装 iis6.0
2 )触发漏洞
在本地实行 exp ,exp 如下
实行成功后,做事器端弹出打算器:
3、漏洞修复
1)关闭 WebDAV 做事
2)利用干系防护设备
五、解析漏洞
1、漏洞先容及成因
IIS 6.0 在处理含有分外符号的文件路径时会涌现逻辑缺点,从而造成文件解析漏洞。这一漏洞有两种完备不同的利用办法:
/test.asp/test.jpg
test.asp;.jpg
2、漏洞复现
利用办法1
第一种是新建一个名为 \公众test.asp\公众 的目录,该目录中的任何文件都被 IIS 当作 asp 程序实行(分外符号是“/”)。
利用办法2
第二种是上传名为 \公众test.asp;.jpg\公众 的文件,虽然该文件真正的后缀名是 \"大众.jpg\公众,但由于含有分外符号\"大众;\"大众,仍会被 IIS 当做 asp 程序实行。
IIS7.5 文件解析漏洞
test.jpg/.php
URL 中文件后缀是 .php ,便无论该文件是否存在,都直接交给 php 处理,而 php 又默认开启 \"大众cgi.fix_pathinfo\"大众 ,会对文件进行“修理”,可谓“修理”?举个例子,当 php 碰着路径 \公众/aaa.xxx/bbb.yyy\"大众 时,若 \"大众/aaa.xxx/bbb.yyy\"大众 不存在,则会去掉末了的 “bbb.yyy\"大众 ,然后判断 \"大众/aaa.xxx\"大众 是否存在,若存在,则把 “/aaa.xxx\"大众 当作文件。
若有文件 test.jpg ,访问时在其后加 /.php ,便可以把 \"大众test.jpg/.php\"大众 交给 php ,php 修理文件路径 \"大众test.jpg/.php\"大众 得到 ”test.jpg\"大众 ,该文件存在,便把该文件作为 php 程序实行了。
3、漏洞修复
1 对新建目录文件名进行过滤,不许可新建包含‘.’的文件;
2 曲线网站后台新建目录的功能,不许可新建目录;
3 限定上传的脚本实行权限,不许可实行脚本;
4过滤 .asp/xm.jpg,通过 ISApi 组件过滤。