中间件漏洞 -- IIS

中间件漏洞记录--1

目录

1.解析漏洞

iis6.0

漏洞原理

漏洞复现 win2003+iis6.0

1> 文件夹解析漏洞

2> 扩展名解析漏洞

iis7.0/7.5

原理

漏洞复现 IIS7.5 + Fast-CGI

2.PUT漏洞

漏洞原理

漏洞复现win2003+iis6.0

1> 开始测试

3.短文件名

漏洞原理

漏洞复现 win2003+WebDAV+ASP.NET

1> 如果文件名长度 >= 9，就会产生短文件名

2> 此时去猜解短文件名

​3> 404 就说明存在

4> 400就说明不存在

 5> 猜猜

4.远程代码执行

1> 打开msf

 2>配置msf

---

---

1.解析漏洞

iis6.0

漏洞原理

       iis 6.0 在处理文件解析时会存在两个解析漏洞

• 当文件为 *.asp;.jpg、*.asa;.jpg、*.cer;.jpg、*.cdx;.jpg 时，iis6.0 依然会将其以 asp 文件来执行
• 当目录名 为 *.asp、*.asa、*.cer、*.cdx 时，，会将目录下的所有文件作为 asp 文件进行解析

漏洞复现 win2003+iis6.0

1> 文件夹解析漏洞

 先在靶机写一个asp脚本（返回当前时间）

<%
response.write(now())
%>

然后将其后缀改为jpg

尝试访问，直接访问时，不能解析

但将其放在以 xxx.asp 为名的文件夹下，接可以直接解析

2> 扩展名解析漏洞

同上创建asp脚本，，改名为  1.asp;.jpg

访问也能解析成功

iis7.0/7.5

原理

IIS7.0/7.5在Fast-CGI运行模式下,在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为 php 文件。

漏洞复现 IIS7.5 + Fast-CGI

正常的.jpg文件不能解析

但是在后面加上/xxx.php 就可以解析

 就可以配合文件上传

2.PUT漏洞

漏洞原理

        WebDav（Web-based Distributed Authoring and Versioning）是一种基于HTTP 1.1协议的通信协议，它扩展了HTTP协议，在GET、POST、HEAD等几个HTTP标准方法外添加了一些新的方法。

        在开启WebDav扩展的服务器后，如果支持PUT、Move、Copy、Delete等方法，就可能会存在一些安全隐患，攻击者可以通过PUT方法向服务器上传危险脚本文件。

漏洞复现win2003+iis6.0

 

1> 开始测试

     1>>先探测服务器支持的HTTP方法（抓个包，改成这样然后go）

OPTIONS / HTTP/1.1
Host: 192.168.129.136

     2>>使用PUT写入小马（txt文档）

可以查看，写入成功

    3>>通过COPY方法修改文件名

 然后直接可以上蚁剑去连接

3.短文件名

漏洞原理

IIS的短文件名机制,可以暴力猜解短文件名,访问构造的某个存在的短文件名,会返回404,访问构造的某个不存在的短文件名,返回400。

漏洞复现 win2003+WebDAV+ASP.NET

1> 如果文件名长度 >= 9，就会产生短文件名

文件名的前6位加上 ~1

2> 此时去猜解短文件名

http://192.168.129.136/*~1*/a.aspx

格式就是这样，*来匹配东西

抓个包方便操作

3> 404 就说明存在

4> 400就说明不存在

没有以kkk开头的文件

 5> 猜猜

这个程度就可以判断，存在短文件名为 aaaaaa~1.asp 的文件

但是却不能以短文件名去访问文件

IIS短文件利用工具：https://github.com/irsdl/IIS-ShortName-Scanner

不知道是打开方式不对还是什么，，扫的不是很准确

4.远程代码执行

漏洞复现 kali msf + win2003-WebDAV

GitHub - zcgonvh/cve-2017-7269: fixed msf module for cve-2017-7269

先下载这个攻击模块，然后复制到msf的模块里

cp cve-2017-7269.rb /usr/share/metasploit-framework/modules/exploits/windows/iis/

1> 打开msf

先要执行 reload_all ，不然可能找不到模块

先search cve-2017-7269 ，再use

 2>配置msf

直接set设置目标ip就行

 直接可以得到shell