学习日志3：web中间件漏洞-IIS篇

IIS漏洞

什么是IIS：一种Web服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。

漏洞：
1.PUT方法上传文件后利用MOVE方法进行改名
版本：IIS6.0
漏洞原因：IIS Server在Web服务扩展中开启了WebDAV，配置了写入权限，造成任意文件上传
利用方式：使用PUT请求实现上传任意文件，再用MOVE请求修改文件名，实现webshell
修复：关闭WebDAV和写权限

2.短文件名猜解
版本：IIS7.5及以下(IIS使用.Net Framework 4时不收影响)
漏洞原因：windows系统对文件名超过9位的文件生成短文件名，多余位数用~ x表示(x位数字，初始为1)，文件后缀不变。若存在前六位重复，后缀也重复的文件，则x递增。例如yalangsuan.html和yalangsuan123.html分别生成短文件名yalang~ 1.html和yalang~2.html。可以使用基于MS-DOS或16位windows程序访问这些短文件名。若IIS启用.Net，可以尝试用GET请求爆破短文件名(可以使用通配符*逐位破解)，当文件存在时，会返回404，当文件不存在时，会返回400，从而爆破文件名。某些情况下甚至可以直接通过短文件名下载文件。
修复：升级.Net框架；注册表禁用短文件名功能
局限性：需要IIS和.Net都满足；文件名小于6位的，不存在短文件名；文件名很长的，也只能破解前六位和后缀，后(n-6)位难以猜解。

3.远程命令执行(CVE-2017-7269)
版本：Windows Server 2003 r2 IIS6.0
漏洞原因：PROPFIND命令的栈溢出，导致任意远程命令执行
CVE：http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7269
EXP:https://github.com/zcgonvh/cve-2017-7269
修复：关闭WebDAV服务

4.文件解析漏洞
(1)5.x和6.0版本的目录解析漏洞：若文件夹后缀为.asp，则将文件下的所有文件当作asp文件解析
(2)5.x和6.0版本的畸形文件名解析漏洞：若文件名为xx.asp;.jsp，则iis读到;后就停止了，文件被解析为xx.asp
(3)5.x和6.0版本的后缀名解析漏洞：.asa .cer等几种后缀都被看做asp脚本执行
(4)IIS7.0(2008)版本(限php)下的畸形解析漏洞：上传a.jpg/x.php，则a.jpg被当作x.php执行
(5)IIS7.0(2008)版本(限php)下空字节截断漏洞：用00或%00进行截断，a.php%00.jpg会被解析为a.php(选中%00按ctrl+shift+u变成口)
修复：严格限制上传的文件名，限制";"，"/“和”."等符号；上传功能不允许新建目录；限制上传文件的执行权限，不允许执行脚本。