中间件漏洞之IIS全家桶 – 作者:星空111

本文仅限技术研究与讨论，仅用于信息防御技术，严禁用于非法用途，否则产生的一切后果自行承担！

0X01  IIS系列

IIS 6.x

1>基于文件名

简介：该版本默认将*.asp;.jpg 此种格式的文件名，当成Asp解析。

原理：服务器默认不解析 ; 号及其后面的内容，相当于截断。

2> 基于文件夹

简介：该版本默认将 *.asp/ 目录下的所有文件当成Asp解析。

Note:另外，IIS6.x除了会将扩展名为.asp的文件解析为asp之外，还默认会将扩展名为.asa，.cdx，.cer解析为Asp，从网站属性->主目录->配置 可以看出，他们都是调用了asp.dll进行的解析。

了解了吧老铁们！

修复建议：

微软不承认这是一个漏洞，也没推出IIS 6.0的补丁，哎 没办法！ 漏洞还得自己修复!

1>限制上传目录执行权限，不允许执行脚本

2>不允许新建目录

3>上传的文件需经过重命名(时间戳+随机数+.jpg等)

IIS 7.x

安装IIS7.5

1>  控制面板 -> 程序 -> 打开或关闭windows功能

2>下载php-5.2.6-win32-installer.msi

3>打开msi，一直下一步来到选择 web server setup的界面，在这里选择IIS fastcgi,之后一直下一步。

4>打开IIS，管理工具 ->Internet 信息服务(IIS)管理器

5>选择编辑ISAPI或CGI限制

添加安装的php-cgi.exe路径，描述随便！

6> 返回第5>的第一个图片位置，点击处理程序映射.

7>phpinfo测试

Note：IIS7.x版本在Fast-CGI运行模式下,在任意文件.

Eg：test.jpg后面加上/.php，会将test.jpg 解析为php文件.

修复建议:

1>配置cgi.fix_pathinfo(php.ini中)为0并重启php-cgi程序

结果

PUT任意文件写入

简介：IIS Server 在 Web 服务扩展中开启了 WebDAV之后，支持多种请求，配合写入权限，可造成任意文件写入。

修复建议:

1>关闭WebDAV 和 写权限

IIS短文件漏洞

简介：Windows 以 8.3 格式生成与 MS-DOS 兼容的（短）文件名，以允许基于 MS-DOS 或 16 位Windows的程序访问这些文件。在cmd下输入”dir /x”即可看到短文件名的效果。

IIS短文件名产生：

1>当后缀小于4时，短文件名产生需要文件(夹)名前缀字符长度大于等于9位。

2>当后缀大于等于4时，文件名前缀字符长度即使为1，也会产生短文件名。

目前IIS支持短文件名猜测的HTTP方法主要包括：DEBUG、OPTIONS、GET、POST、HEAD、TRACE六种

IIS 8.0之后的版本只能通过OPTIONS和TRACE方法被猜测成功

复现：

提醒一下 IIS8.0以下版本需要开启ASP.NET支持，IIS>=8.0版本,即使没有安装ASP.NET，通过

OPTIONS和TRACE方法也可以猜解成功。以下通过开启IIS6.0 ASP.NET后进行复现。

当访问构造的某个存在的短文件名，会返回404

当访问构造的某个不存在的短文件名，会返回400

IIS短文件漏洞局限性：

1>如果文件名本身太短也是无法猜解的

2>此漏洞只能确定前6个字符，如果后面的字符太长、包含特殊字符，很难猜解

3>如果文件名前6位带空格，8.3格式的短文件名会补进，和真实文件名不匹配

4>如果文件夹名前6位字符带点”.”，扫描程序会认为是文件而不是文件夹，最终出现误报

5>不支持中文文件名，包括中文文件和中文文件夹。一个中文相当于两个英文字符，so,超过4个中文字会产生短文件名，但是IIS不支持中文猜测。

短文件利用工具下载：https://github.com/irsdl/IIS-ShortName-Scanner

修复建议：

1>从CMD命令关闭NTFS 8.3文件格式的支持Windows Server 2003： (1代表关闭，0代表开启）

关闭该功能：fsutil behavior set disable8dot3 1

Windows Server 2008 R2：查询是否开启短文件名功能：fsutil 8dot3name query关闭该功能：fsutil8dot3name set 1 不同系统关闭命令稍有区别，该功能默认是开启的。

2>或从修改注册表关闭NTFS 8.3文件格式的支持

快捷键Win+R打开命令窗口，输入regedit打开注册表窗口

找到路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem ，将其中的NtfsDisable8dot3NameCreation这一项的值设为 1，1代表不创建短文件名格式。

以上两种方式修改完成后，均需要重启系统生效。

Note: 此方法只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除，需要重新复制才会消失。 例:将web文件夹的内容拷贝到另一个位置，如c:\www到c:\ww,然后删除原文件夹，再重命名c:\ww到c:\www。

HTTP.SYS远程代码执行 (MS15-034)

影响范围：Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows

8.1 和 Windows Server 2012 R2

复现：在Windows7上 安装IIS7.5

1>访问

2>编辑请求头，增加Range: bytes=0-18446744073709551615字段，若返回码状态为416 Requested Range Not Satisfiable，则存在HTTP.SYS远程代码执行漏洞。

漏洞有点鸡肋，配合其他漏洞打组合拳使用还是可以用用的，具体使用可转至MSF中。

修复建议：

安装修复补丁（KB3042553）

RCE-CVE-2017-7269

Microsoft Windows Server 2003 R2中的Internet信息服务（IIS）6.0中的WebDAV服务中的ScStoragePathFromUrl函数中的缓冲区溢出允许远程攻击者通过以”If：<http：//”开头的长标头执行任意

代码PROPFIND请求。

影响范围：在Windows 2003 R2（Microsoft(R) Windows(R) Server 2003, Enterprise Edition Service Pack 2）上使用IIS 6.0并开启WebDAV扩展。

复现：CVE作者给出的exp计算机弹弹弹！用python2 运行

任务管理器开启了calc.exe进程，因为计算器是网络服务权限打开的，所以我们在Desktop上看不见。

这个漏洞有几个需要注意的地方，如下。

由于提供的Exp执行之后就卡在那里了，因此不适合用弹计算机的shellcode进行测试，网上找了个dalao的回显shellcode来测试。

首先将上图中python2 IDE运行时产生的Raw类型的HTTP数据包copy保存至记事本中，然后在BurpRepeater模块 Paste from file。将shellcode更换成如下

将shellcode更换成如下：

结果：

CVE作者给出的Exp是在默认端口，默认域名，默认路径的情况下适用。第一个需要注意的是端口和域名绑定问题：当端口改变时，If头信息中的两个url端口要与站点端口一致，如下。

当域名改变时，if 头信息中的两个url域名要与站点域名一致，且HOST头也要与站点域名一致。

不修改Host将返回502

Note:

1>测试的时候凡是需要修改IIS配置的操作，修改完毕后都需要重启IIS，或者在不超过禁用阈值的前提下结束w3wp进程。

2>需要注意的是物理路径问题：CVE作者提供的Exp是在 默认路径长度等于19(包括结尾的反斜杠)的情况下适用，IIS默认路径一般为：c:\inetpub\wwwroot

解决方案：

当路径长度小于19时需要对padding进行添加。当路径长度大于19时需要对padding进行删除。

ROP和stackpivot前面的padding实际上为UTF8编码的字符，每三个字节解码后变为两个字节的UTF16字符，在保证Exp不出错的情况下，有0x58个字符是没用的。所以可以将前0x108个字节删除，换成0x58个a或b。

原exp 修改后如下：

执行：

当路径长度小于19时，如下，需要增加12个a，b

而实际中路径常常大于19，需要对padding进行删除。

当路径为c:\www\的时候，a有107个，加起来有114个，除去盘符有111个字符，所以可以把Exp的padding增加至111，并逐次进行减少。当长度不匹配时返回500，成功时返回200，通过爆破方式得到物理路径长度。

成功

失败

当然如果能得到物理路径，则用114减去物理路径长度（包括末尾的反斜杠）就是所需的padding长度。

3>需要注意的是超时问题。当exp执行成功一段时间之后（大概十分钟到二十分钟左右，其间无论有无访问），再对这个站点执行exp永远不会成功，同时返回400。

解决方法：1.等待w3wp重启。

2.测试旁站（因为每个池都是独立的w3wp进程，换一个可能在其他池的旁站进行尝试）

4>需要注意的是多次执行错误shellcode,多次执行错误的shellcode会覆盖很多不该覆盖的代码，从而导致正确的shellcode执行时也返回500，提示信息为：参数不正确，也可能什么都不返回。

解决方法：

1>等待w3wp重启。

2>测试旁站（因为每个池都是独立的w3wp进程，换一个可能在其他池的旁站进行尝试)。

修复建议:  关闭 WebDAV

来源：freebuf.com 2021-03-29 21:42:42 by: 星空111