一、漏洞描述
此漏洞實際是由HTTP請求中舊DOS 8.3名稱約定(SFN)的代字符(~)波浪號引起的����。它允許遠程攻擊者在Web根目錄下公開文件和文件夾名稱(不應該可被訪問)����。攻擊者可以找到通常無法從外部直接訪問的重要文件,并獲取有關應用程序基礎結構的信息����。
二、漏洞原理
IIS的短文件名機制,可以暴力猜解短文件名,訪問構造的某個存在的短文件名,會返回404,訪問構造的某個不存在的短文件名,返回400。
漏洞成因:
為了兼容16位MS-DOS程序,Windows為文件名較長的文件(和文件夾)生成了對應的windows 8.3短文件名����。
在Windows下查看對應的短文件名,可以使用命令dir /x
短文件名特征:
1.只顯示前6位的字符,后續字符用~1代替����。其中數字1是可以遞增。如果存在文件名類似的文件,則前面的6個字符是相同的,后面的數字進行遞增
2.后綴名最長只有3位,超過3位的會生成短文件名,且后綴多余的部分會截斷。
3.所有小寫字母均轉換成大寫的字母
4.長文件名中包含多個”.”的時候,以文件最后一個”.”作為短文件名的后綴
5.長文件名前綴/文件夾名字符長度符合0-9和A-Z����、a-z范圍且需要大于等于9位才會生成短文件名,如果包含空格或者其他部分特殊字符,不論長度均會生成短文件����。
三����、漏洞環境搭建及漏洞復現
1����、 測試環境為windows server 2003 r2,開啟webdav服務和net服務。
2、使用payload驗證目標是否存在IIS短文件名漏洞,下圖顯示的404,說明目標存在該短文件名
Payload: http://192.168.10.130 /*~1*/a.aspx
http://192.168.10.130/ttt*~1*/a.aspx
注:*可以匹配n個字符,n可以為0
3����、瀏覽器訪問一個不存在的短文件名,返回”Bad Request(400)”,說明目標不存在該短文件名
4����、通過瀏覽器訪問上面兩個payload,根據返回的結果,可以說明目標存在IIS短文件漏洞
5����、判斷漏洞存在后,接下來手工詳細分析猜解IIS短文件名原理
5.1、在網站根目錄(C:\Inetpub\wwwroot)下創建一個abcdef123456.txt文件
5.2����、瀏覽器分別訪問http://192.168.10.130/a*~1*/a.aspx, http://192.168.10.130/b*~1*/a.aspx
5.3����、通過以上兩個圖片,可以看出存在一個以a開頭的短文件名
5.4����、按照上面的方法依次猜解可以得到http://192.168.10.130/abcdef*~1*/a.aspx,到此,已經猜解出來短文件名,到了這一步,需要考慮兩種情況,以abcdef開頭的是一個文件夾還是一個文件。
如果以abcdef開頭的是一個文件夾,那么瀏覽器訪問http://192.168.10.130/abcdef*~1/a.aspx,將返回404,如果abcdef開頭的是一個文件,需要猜解后綴名
5.5����、瀏覽器訪問http://192.168.10.130/abcdef*~1/a.aspx,根據下圖返回結果說明以abcdef開頭的不是一個文件夾,而是一個文件
5.6����、瀏覽器訪問http://192.168.10.130/abcdef*~1.a*/a.aspx,根據下圖返回說明該短文件后綴的第一位不是a
5.7����、用a-z的26個字母依次替換上述a的位置,當替換成t時,返回404頁面,說明該短文件的第一位后綴是t
5.8����、按照上面的方法依次猜解得到該短文件名的后綴是txt
5.9、到此為止,已經猜解出該短文件名為abcdef~1.txt
6����、根據已經猜解出來的短文件名abcdef~1.txt,繼續猜解出該短文件名的完全文件名為abcdef123456.txt
7����、使用IIS短文件名掃描軟件����,獲取目標存在哪些短文件名
四、漏洞防御
1����、升級.net framework
2����、修改注冊表鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
修改NtfsDisable8dot3NameCreation為1����。修改完成后,需要重啟系統生效。
注:此方法只能禁止NTFS8.3格式文件名創建,已經存在的文件的短文件名無法移除,需要重新復制才會消失����。如果不重新復制����,已經存在的短文件名則是不會消失的
2.1重啟系統之后,在網站根目錄(C:\Inetpub\wwwroot)下創建hhhhhhhhhhhhhhhhhhhh.txt,然后查看是否會生成短文件名����。下圖可以看到,沒有生成短文件名,說明防御生效。
2.2����、將wwwroot目錄下文件復制到另一個back文件下,然后刪除原wwwroot目錄下所有內容,再把back下的內容重新復制到wwwroot目錄下,這時重新查看,則不存在短文件名了
五����、總結
該漏洞的意義:
1����、 猜解后臺地址
2、 猜解敏感文件,例如備份的rar����、zip����、.bak����、.sql文件等。
3����、 在某些情形下,甚至可以通過短文件名web直接下載對應的文件����。
該漏洞的局限性:
1����、 只能猜解前六位,以及擴展名的前三位����。
2、 名稱較短的文件是沒有相應的短文件名的。
3、 不支持中文文件名
4����、 如果文件名前6位帶空格����,8.3格式的短文件名會補進����,和真實文件名不匹配
5、 需要IIS和.net兩個條件都滿足����。
好了����,以上就是這篇文章的全部內容了����,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,謝謝大家對腳本之家的支持。
