Web中间件常见漏洞总结

IIS

IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行MicrosoftWindows的互联网基本服务。

IIS目前只适用于Windows系统,不适用于其他操作系统。

解析漏洞

IIS 6.x

基于文件名
该版本默认会将*.asp;.jpg此种格式的文件名,当成Asp解析,原理是服务器默认不解析;号及其后面的内容,相当于截断。
Web中间件常见漏洞总结_第1张图片
基于文件夹名
该版本 默认会将 *.asp/目录下的所有文件当成Asp解析。
Web中间件常见漏洞总结_第2张图片
另外,IIS6.x除了会将扩展名为.asp的文件解析为asp之外,还默认会将扩展名为.asa,.cdx,.cer解析为asp,

从网站属性->主目录->配置 可以看出,他们都是调用了asp.dll进行的解析。
Web中间件常见漏洞总结_第3张图片

修复建议

由于微软并不认为这是一个漏洞,也没有推出IIS 6.0的补丁,因此漏洞需要自己修复。

【一一帮助安全学习一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部教程

1.限制上传目录执行权限,不允许执行脚本。
Web中间件常见漏洞总结_第4张图片
2.不允许新建目录。

3.上传的文件需经过重命名(时间戳+随机数+.jpg等)

IIS 7.x

安装IIS7.5
1.控制面板 -> 程序 -> 打开或关闭windows功能。
Web中间件常见漏洞总结_第5张图片

  1. 下载php-5.2.6-win32-installer.msi

  2. 打开msi,一直下一步来到选择web serversetup的界面,在这里选择IISfastcgi,之后一直下一步。 4.打开IIS,管理工具 ->Internet 信息服务(IIS)管理器

  3. 选择编辑ISAPI或者CGI限制
    Web中间件常见漏洞总结_第6张图片
    添加安装的php-cgi.exe路径,描述随意。
    Web中间件常见漏洞总结_第7张图片
    6.返回第五步的第一个图片位置,点击处理程序映射,添加如下。
    Web中间件常见漏洞总结_第8张图片
    7.phpinfo测试
    Web中间件常见漏洞总结_第9张图片
    IIS7.x版本 在Fast-CGI运行模式下,在任意文件,例:test.jpg后面加上/.php,会将test.jpg 解析为php文件。
    Web中间件常见漏洞总结_第10张图片
    修复建议
    配置cgi.fix_pathinfo(php.ini中)为0并重启php-cgi程序
    Web中间件常见漏洞总结_第11张图片
    结果如下:
    Web中间件常见漏洞总结_第12张图片

PUT任意文件写入

IIS Server 在 Web 服务扩展中开启了 WebDAV之后,支持多种请求,配合写入权限,可造成任意文件写入。
Web中间件常见漏洞总结_第13张图片
Web中间件常见漏洞总结_第14张图片

修复建议

关闭WebDAV 和 写权限

IIS****短文件漏洞
Windows 以 8.3 格式生成与 MS-DOS 兼容的(短)文件名,以允许基于 MS-DOS 或 16 位 Windows的程序访问这些文件。在cmd下输入"dir /x"即可看到短文件名的效果。
Web中间件常见漏洞总结_第15张图片
IIS短文件名产生:

  1. 当后缀小于4时,短文件名产生需要文件(夹)名前缀字符长度大于等于9位。
  2. 当后缀大于等于4时,文件名前缀字符长度即使为1,也会产生短文件名。

目前IIS支持短文件名猜测的HTTP方法主要包括:DEBUG、OPTIONS、GET、POST、HEAD、TRACE六种。

IIS 8.0之后的版本只能通过OPTIONS和TRACE方法被猜测成功。复现:

IIS8.0以下版本需要开启ASP.NET支持,IIS大于等于8.0版本,即使没有安装ASP.NET,通过OPTIONS和TRACE方法也可以猜解成功。 以下通过开启IIS6.0 ASP.NET后进行复现。
Web中间件常见漏洞总结_第16张图片
当访问构造的某个存在的短文件名,会返回404;
Web中间件常见漏洞总结_第17张图片
当访问构造的某个不存在的短文件名,会返回400;
Web中间件常见漏洞总结_第18张图片

IIS短文件漏洞局限性

1)如果文件名本身太短也是无法猜解的;

2)此漏洞只能确定前6个字符,如果后面的字符太长、包含特殊字符,很难猜解;
3)如果文件名前6位带空格,8.3格式的短文件名会补进,和真实文件名不匹配;
4)如果文件夹名前6位字符带点".",扫描程序会认为是文件而不是文件夹,最终出现误报;
5)不支持中文文件名,包括中文文件和中文文件夹。一个中文相当于两个英文字符,故超过4个中文字会产生短文件名,但是IIS不支持中文猜测。
Web中间件常见漏洞总结_第19张图片
Web中间件常见漏洞总结_第20张图片
短文件利用工具下载

修复建议

1)从CMD命令关闭NTFS 8.3文件格式的支持Windows Server 2003: (1代表关闭,0代表开启)
Web中间件常见漏洞总结_第21张图片
Windows Server 2008 R2:

查询是否开启短文件名功能:fsutil 8dot3name query

关闭该功能:fsutil 8dot3name set 1

不同系统关闭命令稍有区别,该功能默认是开启的. 2)或从修改注册表关闭NTFS 8.3文件格式的支持

快捷键Win+R打开命令窗口,输入regedit打开注册表窗口

找到路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem,将其中的 NtfsDisable8dot3NameCreation这一项的值设为 1,1代表不创建短文件名格式
Web中间件常见漏洞总结_第22张图片
以上两种方式修改完成后,均需要重启系统生效。

Note:此方法只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除,需要重新复制才会消失。 例:将web文件夹的内容拷贝到另一个位置,如c:\www到c:\ww,然后删除原文件夹,再重命名c:\ww到c:\www。

HTTP.SYS远程代码执行 (MS15-034)

影响范围:
Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2
复现:

在Windows7上 安装IIS7.5。
1.访问。
Web中间件常见漏洞总结_第23张图片
编辑请求头,增加Range: bytes=0-18446744073709551615 字段,若返回码状态为416 Requested Range Not Satisfiable,则存在HTTP.SYS远程代码执行漏洞
Web中间件常见漏洞总结_第24张图片
漏洞有点鸡肋,配合其他漏洞使用还是可以用用的,具体使用可转至MSF中。

修复建议

安装修复补丁(KB3042553)

RCE-CVE-2017-7269

Microsoft Windows Server 2003 R2中的Internet信息服务(IIS)6.0中的WebDAV服务中的ScStoragePathFromUrl函数中的缓冲区溢出允许远程攻击者通过以"If: 影响范围:
在Windows 2003 R2(Microsoft® Windows® Server 2003, Enterprise Edition Service Pack 2)上使用IIS 6.0并开启WebDAV扩展。
复现:

CVE给出的exp 计算机弹弹弹!!! 用python2 运行,结果如下。
Web中间件常见漏洞总结_第25张图片
任务管理器开启了calc.exe进程,因为计算器是网络服务权限打开的,所以我们在桌面上看不见。 这个漏洞有几个需要注意的地方,如下。

由于作者提供的Exp执行之后就卡在那里了,因此不适合用弹计算机的shellcode进行测试,网上找了个dalao的回显shellcode来测试。首先将上图中python2 IDE运行时产生的Raw类型的HTTP数据包copy保存至记事本中,然后在Burp Repeater模块 Paste from file。将shellcode更换成如下:

VVYA4444444444QATAXAZAPA3QADAZABARALAYAIAQAIAQAPA5AAAPAZ1AI1AIAIAJ11AIAIAXA58AAPAZABABQI1AIQIAIQI1111AIAJQI1AYAZBABABABAB30APB944JBRDDK

结果:
Web中间件常见漏洞总结_第26张图片
CVE作者给出的Exp是在默认端口,默认域名,默认路径的情况下适用。 第一个需要注意的是端口和域名绑定问题:
当端口改变时,If头信息中的两个url端口要与站点端口一致,如下。
Web中间件常见漏洞总结_第27张图片
当域名改变时,If头信息中的两个url域名要与站点域名一致,且HOST头也要与站点域名一致。如下
Web中间件常见漏洞总结_第28张图片
不修改Host将返回502,如下
Web中间件常见漏洞总结_第29张图片
Note:
测试的时候凡是需要修改IIS配置的操作,修改完毕后都需要重启IIS,或者在不超过禁用阈值的前提下结束w3wp进程。

第二个需要注意的是物理路径问题:

CVE作者提供的Exp是在 默认路径长度等于19(包括结尾的反斜杠)的情况下适用,IIS默认路径一般为:c:\inetpub\wwwroot

解决方法:
当路径长度小于19时需要对padding进行添加。当路径长度大于19时需要对padding进行删除。

ROP和stackpivot前面的padding实际上为UTF8编码的字符,每三个字节解码后变为两个字节的UTF16字符,在保证Exp不出错的情况下,有0x58个字符是没用的。所以可以将前0x108个字节删除,换成0x58个a或b。

原exp 修改后如下:

#  coding:utf-8 import  socket
sock  =  socket.socket(socket.AF_INET,  socket.SOCK_STREAM) sock.connect(('192.168.124.129',8888))
pay='PROPFIND  /  HTTP/1.1\r\nHost:  www.lxhsec.com\r\nContent-Length:  0\r\n' pay+='If:  '
pay+='  (Not  )  

执行:
Web中间件常见漏洞总结_第30张图片
当路径长度小于19时,如下,需要增加12个a,b
image.png
Web中间件常见漏洞总结_第31张图片
而实际中路径常常大于19,需要对padding进行删除。

当路径为c:\www\ 的时候,a有107个,加起来有114个,除去盘符有111个字符,所以可以把Exp的padding增加至111,并逐次进行减少。当长度不匹配时返回500,成功时返回200,通过爆破方式得到物理路径长度。

成功:
Web中间件常见漏洞总结_第32张图片
失败:
Web中间件常见漏洞总结_第33张图片
当然如果能得到物理路径,则用114减去物理路径长度(包括末尾的反斜杠)就是所需的padding长度。
第三个需要注意的是,超时问题。
当exp执行成功一段时间之后(大概十分钟到二十分钟左右,其间无论有无访问),再对这个站点执行exp永远不会成功,同时返回400。
解决方法:

  1. 等待w3wp重启。

  2. 测试旁站(因为每个池都是独立的w3wp进程,换一个可能在其他池的旁站进行尝试) 第四个需要注意的是,多次执行错误shellcode

多次执行错误的shellcode会覆盖很多不该覆盖的代码,从而导致正确的shellcode执行时也返回500, 提示信息为:参数不正确,也可能什么都不返回。
Web中间件常见漏洞总结_第34张图片
解决方法:
1.等待w3wp重启。
2.测试旁站(因为每个池都是独立的w3wp进程,换一个可能在其他池的旁站进行尝试)

修复建议

关闭 WebDAV

总结

Web中间件常见漏洞还远不止这些,等以后空闲再补录。

你可能感兴趣的:(安全,web安全,信息安全,渗透测试,网络安全)