IIS服务器安全配置

上篇带来Apache服务器的安全配置,作为老牌中间件,iis一直是经久不衰,这次带来iis服务器的安全配置,同样下面的安全问题是根据ISC大会360应急响应中心的一个ppt而来的~

问题1.IIS6文件解析漏洞利用

问题2.IIS6写权限漏洞的利用

问题3.IIS6短文件名漏洞

问题4.IIS7 Fastcgi方式调用php存在的解析漏洞

问题5.IIS日志审计方法

下面我将针对上述问题,来做一个实例讲演!

问题1.IIS6文件解析漏洞利用

这个应该很熟悉,IIS的两个解析漏洞,一个是123.jpg;.asp,一个是123.asp/test.jpg

这两种文件命名方式都会被当成asp文件来进行解析

这是我们写入的asp文件内容

可以看到这里eval语句已经被执行了,使用菜刀连接即可,这是第一种文件解析漏洞

图片[1]-IIS服务器安全配置-安全小百科

第二种:我们先创建一个以asp结尾的文件夹,然后在文件夹内上传我们的asp脚本文件

图片[2]-IIS服务器安全配置-安全小百科

可以看到一句话已经被执行,可以使用菜刀连接了~

问题2.IIS6写权限漏洞的利用

实际上这个漏洞是因为webdev组件的问题,为了安全上的考虑,IIS默认并不会启动WebDAV的功能,因此必须另外来激活它。

图片[3]-IIS服务器安全配置-安全小百科

图片[4]-IIS服务器安全配置-安全小百科

这里我关闭了webdev功能,可以看到这里PUT方式就已经提示不支持了

图片[5]-IIS服务器安全配置-安全小百科

这里假如我们确认了目标的确开了webdav功能,支持PUT写入,下面就可以使用桂林老兵的工具,将一句话通过PUT传入,最后使用MOVE方法修改成asp后缀,但是这里在修改后缀的时候出现了403 forbidden的状态码。。知道的人可以评论下告之原因~

总结一句话,这个iis写入漏洞就是因为开启了webdav组件,因此在配置网站时,一定要关注一些高危组件,不要开启不需要的组件。

问题3.IIS6短文件名漏洞

比如,我在D盘下创建了一个名为aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.html文件

图片[6]-IIS服务器安全配置-安全小百科

可以看到其对应的短文件名为AAAAAA~1.HTM

该短文件名有以下特征:

  1. 只有前六位字符直接显示,后续字符用~1指代。其中数字1还可以递增,如果存在多个文件名类似的文件(名称前6位必须相同,且后缀名前3位必须相同)。
  2. 访问构造的某个存在的短文件名,会返回404
  3. 访问构造的某个不存在的短文件名,会返回400。
  4. 后缀名最长只有3位,多余的被截断。

因此在这里我们可以在启用.net的IIS下暴力列举短文件名,原因是:需要使用到通配符*。在windows中,*可以匹配n个字符,n可以为0. 判断某站点是否存在IIS短文件名暴力破解,构造payload,分别访问如下两个URL:

iis_shortname_enum_404   404iis_shortname_enum_400    400

这里我使用了4个星号,主要是为了程序自动化猜解,逐个猜解后缀名中的3个字符,实际上,一个星号与4个星号没有任何区别(上面已经提到,*号可以匹配空)。

如果访问第一个URL,返回404。

而访问第二个URL,返回400。 则目标站点存在漏洞。

这个漏洞主要就是用于猜解后台地址以及一些敏感文件,在这里不做赘述~

问题4.IIS7 Fastcgi方式调用php存在的解析漏洞

这里主要的是指的iis7的解析漏洞。详细的漏洞描述如下:

IIS7 及IIS7.5 在使FastCGI方式调用php时,在php.ini里设置cgi.fix_pathinfo=1,使得访问任意文件URL时,在URL后面添加“/x.php”等字符时,该文件被iis当php文件代码解析。

假如http://127.0.0.1/1.jpg的内容如下:
<?php phpinfo();?>

这时候我们在访问http://127.0.0.1/1.jpg/1.php时,由于iis7的解析漏洞,会将这个jpg文件解析成php文件,从而执行phpinfo()。

问题5.IIS日志审计方法

这里iis日志是默认开启的,日志文件在C:WINDOWSsystem32LogFiles目录下

这里举一个最新的日志来进行分析

这里可以看到很详细的日志信息

2017-11-09 01:55:47 – 操作时间

W3SVC87257621 – 网站编号(同时对应这个日志文件夹的名字)

192.168.57.130 – 服务器ip

MOVE /test.txt – 访问者的操作

80 – 网站端口

192.168.57.1 – 访问者ip

207 0 0 – 207表示WebDAV(RFC 2518)扩展的状态码,代表之后的消息体将是一个XML消息,并且可能依照之前子请求数量的不同,包含一系列独立的响应代码。正常访问情况下这里为200(访问成功),后面的0 0 表示1)get成功 2)数据下载/获得成功

这里同样可以分析日志来对网站的安全进行审计,如果出现了大量sql注入语句以及其他高危行为,我们都可以判断网站正在或者曾经遭受攻击,这时候需要管理员重新评估网站的安全,对高危漏洞进行修补!

上述如有不当之处,敬请指出~

相关推荐: YIT-CTF(二) 隐写术wp

题目链接:传送门 总的来说,YIT-CTF的图片隐写类不是很难,题目量也不是很大,都是很基础的一些隐写题目。 1.小心心 flag说:把我的小心心给你~~ 先把图片下下来,看图片没什么猫腻。。用winhex查看下图片里是否有隐藏信息 在图片的最后我们发现了隐藏…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论