web中间件漏洞之IIS篇

IIS的短文件名机制，可以暴力猜解短文件名，访问构造的某个存在的短文件名，会返回404，访问构造的某个不存在的短文件名，返回400。

2. 漏洞复现

1）在网站根目录下添加aaaaaaaaaa.html文件；

2）进行猜解；

3. 漏洞修复

修复方法：

1）升级.net framework；

2）修改注册表禁用短文件名功能；

快捷键Win+R打开命令窗口，输入regedit打开注册表窗口，找到路径：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem，将其中的 NtfsDisable8dot3NameCreation这一项的值设为 1，1代表不创建短文件名格式，修改完成后，需要重启系统生效。

3）CMD关闭NTFS 8.3文件格式的支持；

4）将web文件夹的内容拷贝到另一个位置，如c:\www到d:\w,然后删除原文件夹，再重命名d:\w到c:\www。

修复后：

4. 局限性

1) 此漏洞只能确定前6个字符，如果后面的字符太长、包含特殊字符，很难猜解；

2) 如果文件名本身太短（无短文件名）也是无法猜解的；

3) 如果文件名前6位带空格，8.3格式的短文件名会补进，和真实文件名不匹配；

在IIS6.0处理PROPFIND指令的时候，由于对url的长度没有进行有效的长度控制和检查，导致执行memcpy对虚拟路径进行构造的时候，引发栈溢出，从而导致远程代码执行。

2. 漏洞复现

1）漏洞环境搭建

在windows server 2003 r2 32位上安装iis6.0；

2）触发漏洞

在本地执行exp，exp如下：

执行成功后，服务器端弹出计算器：

3. 漏洞修复

1）关闭WebDAV服务；

2）使用相关防护设备；

IIS 6.0在处理含有特殊符号的文件路径时会出现逻辑错误，从而造成文件解析漏洞。这一漏洞有两种完全不同的利用方式：

/test.asp/test.jpg

test.asp;.jpg

2. 漏洞复现

• 利用方式1

第一种是新建一个名为”test.asp”的目录，该目录中的任何文件都被IIS当作asp程序执行（特殊符号是“/”）；

• 利用方式2

第二种是上传名为”test.asp;.jpg”的文件，虽然该文件真正的后缀名是”.jpg”,但由于含有特殊符号”;”，仍会被IIS当做asp程序执行；

IIS7.5文件解析漏洞

test.jpg/.php

URL中文件后缀是.php，便无论该文件是否存在，都直接交给 php 处理，而php又默认开启”cgi.fix_pathinfo”功能，默认会对文件进行“修理”，何谓“修理”呢？举个例子，当php遇到路径为”/aaa.xxx/bbb.yyy”的时侯，若”/aaa.xxx/bbb.yyy”不存在，则会去掉最后的“bbb.yyy”，然后判断”/aaa.xxx”是否存在，若存在，则把“/aaa.xxx”当作文件。

若有文件test.jpg，访问时在其后加/.php，便可以把”test.jpg/.php”交给php，php修理文件路径”test.jpg/.php”得到”test.jpg”，该文件存在，便把该文件作为php程序执行了。

3. 漏洞修复

1）对新建目录文件名进行过滤，不允许新建包含‘.’的文件；

2）曲线网站后台新建目录的功能，不允许新建目录；

3）限制上传的脚本执行权限，不允许执行脚本；

4）过滤.asp/xm.jpg，通过ISApi组件过滤。