https://www.exploit-db.com/exploits/20089
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200007-043

IIS是Microsoft的一个产品，是用来在网站上提供HTTP、FTP等的服务器程序。运行在WindowsNT和Windows2000操作系统上。NSFocus安全小组发现了微软IIS4.0/5.0的一个安全漏洞。攻击者可以利用这个漏洞来获取某些特定类型文件(例如：.ASP，.ASA，.INI等等文本类型文件以及二进制文件)的全部或者部分内容。而正常情况下，攻击者是不应该有权限访问这些文件或者浏览文件内容的。攻击者会构造一个特殊格式的URL请求，它由一个目标文件名再加上”+”号以及”.htr”后缀组成。例如：global.asa+.htr。当将这个URL提交给MicrosoftIIS4.0/5.0后，IIS会认为用户正在请求处理一个HTR文件，因此会将这个请求转交给ISM.DLLASAPI应用程序去处理。ISM.DLL在打开并执行这个文件之前，会首先检查文件名。当在文件名中检查到一个”+”号以后，ISM.DLL会从这里将文件名截断，只保留”+”号以前的文件名(实际上就是真正要浏览的目标文件，例如：global.asa)，然后试图打开并执行它。如果该文件并不是HTR文件，ISM.DLL将会泄漏该文件的全部或者部分内容。通常，对于.ASP文件，ISM.DLL会删除其中的大部分内容，但是仍然可能泄漏一些敏感信息，例如包含文件(通常是.inc文件)的名字和路径等等。而对于global.asa文件，通常会将其全部内容显示出来，如果这个文件中包含一些重要敏感信息，例如SQLserver数据库的用户名和密码，可能使攻击者更加容易地入侵或者攻击系统。

source: http://www.securityfocus.com/bid/1488/info

Microsoft IIS 4.0 and 5.0 can be made to disclose fragments of source code which should otherwise be inaccessible. This is done by appending "+.htr" to a request for a known .asp (or .asa, .ini, etc) file. Appending this string causes the request to be handled by ISM.DLL, which then strips the +.htr string and may disclose part or all of the source of the .asp file specified in the request. There has been a report that source will be displayed up to the first '<%' encountered - '<%' and '%>' are server-side script delimiters. Pages which use the <script runat=server></script> delimiters instead will display the entire source, or up to any '<%' in the page. This vulnerability is a variant of a previously discovered vulnerability, BugTraq ID 1193.

http://victim/global.asa+.htr

来源:MS
名称:MS00-044
链接:http://www.microsoft.com/technet/security/bulletin/ms00-044.asp
来源:XF
名称:iis-htr-obtain-code
链接:http://xforce.iss.net/static/5104.php
来源:BID
名称:1488
链接:http://www.securityfocus.com/bid/1488
来源：NSFOCUS
名称：4027
链接：http://www.nsfocus.net/vulndb/4027