iis 短文将漏洞
iis6.0
当后缀小于4 短文件名要文件夹名前缀大于等于9
当后缀大于等于4时,文件名前缀字符长度即使为1,也会产生短文件名。
目前iis支持段文件名猜测的http方法包括:debug.options.get.post.head.trace六种
iis 8.0 以后的版本只能通过options和race方法被拆解成功
3.复现
提醒一下 IIS8.0以下版本需要开启ASP.NET支持,IIS>=8.0版本,即使没有安装ASP.NET,通过
OPTIONS和TRACE方法也可以猜解成功。以下通过开启IIS6.0 ASP.NET后进行复现。
4.长文件名中包含多个”.”的时候,以文件最后一个”.”作为短文件名的后缀
5.长文件名前缀/文件夹名字符长度符合0-9和A-Z、a-z范围且需要大于等于9位才会生成短文件名,如果包
含空格或者其他部分特殊字符,不论长度均会生成短文件。
短文件名特征:
1.只显示前6位的字符,后续字符用~1代替。其中数字1是可以递增。如果存在文件名类似的文件,则前面的
6个字符是相同的,后面的数字进行递增
使用payload验证目标是否存在IIS短文件名漏洞,下图显示的404,说明目标存在该短文件名
注:* 可以匹配n个字符, n可以为0
根据两次返回结果不同可知存在短文件名漏洞
还能用iis短文件名扫描工具
下载 :git clone url
4.防御
1、升级.net framework
2、修改注册表键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
修改NtfsDisable8dot3NameCreation为1。修改完成后,需要重启系统生效。
python iis_shortname_Scan.py http://upload.moonteam.com/
命令行关闭 fsutil behavior set disable8dot3 1
新建文件 aaaaaaaaaaaaaazzzzz.txt 已经没有短文件名了。
iis6。0 远程代码执行漏洞
iis6-exploit-2017-CVE-2017-7269
可反弹shell