7.IIS6.x安全学习

本期内容：iis6.x版本的安装与复现相关的知识学习。

本文仅用作学习交流，所有流程全部由本地环境完成。任何人禁止使用相关技术和工具对真实目标进行未授权测试，产生的所有后果由当事人自行承担。

简介： 

互联网信息服务（英语：Internet Information Services,简称IIS），是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。

IIS6.0默认情况不支持asp语言，可以通过设置打开asp，也可以通过拓展运行其他脚本语言文件。现在的win server都可以使用iis的功能。 

安装：

准备一台win server 2003；

打开控制面板，选择添加与删除程序，添加或删除windows组件，勾选应用程序服务器。

安装时提示需要文件，确定，浏览文件：

反复选择几次文件后安装成功

安装完后，在开始菜单，管理工具中可以找到：Internet信息服务（IIS）管理器

打开后这样：

复现：

一、IIS6的put任意写文件漏洞：

webdav扩充了现有的http1.1请求方式，它使用户可以对服务器直接写入、删除文件。

当iis6服务器打开了webdav、写入权限。就会造成任意文件写入。

右键默认网站，选择属性

勾选写入

右键默认网站，选择权限，允许internet来宾用户读取、写入

burp测试下：

返回201写入成功，返回401是没有写权限，需要检查主目录和来宾用户是否开启写权限。

刷新服务器，看到文件写进来了。

想上传webshell还需要打开脚本资源访问：

MOVE请求会将请求的资源复制一份到目标位置，并不是真的move。返回401说明move成功，403说明move请求被拒绝

二、IIS6的解析漏洞：

1、以asp;.jpg结尾的文件，依旧会被解析成asp。

2、*.asp命名的文件夹内解析成asp。

允许asp的运行：

新建文件1.asp;.jpg，内容为：

访问后：

可以解析。

放到1.asp目录中：

三、IIS6.0默认开启的缓存ISAPI解析隐患：

iis6.0中的‘缓存ISAPI功能’默认打开，拓展名为asa、cdx、cer的文件会被解析成脚本语言，，默认解析为asp文件。

这个地方下除去超文本标记的扩展名，都可以默认解析为asp

四、短文件名枚举漏洞

短文件名详细介绍：

https://blog.51cto.com/u_15061931/4319641

https://blog.csdn.net/zfs2008zfs/article/details/51154873

windows为了使低版本系统可以打开高版本文件，即使是新的操作系统，也会启用短文件名功能

利用条件：

1、具有短文件名（本地测试9位以上才会有）

2、目标系统安装了.net（aspx），且打开这个功能

3、webdav打开

查看短文件名：

猜解：以QQQQQF~1.TXT为例

猜错首字母返回bad request

猜对首字母，返回404，再用类似方法猜后面字母。

猜后缀：

猜对返回404

总结：只能由于过长的名字只显示六位，所以如果配合Apache短文件名直接访问比较好，比如apache + aspx的模式。不然还是要继续猜解后面至少三位的文件名。

RCE-CVE-2017-7269：

在win server 2008 r2 企业版，iis6.0的webdav功能存在缓冲区溢出，导致了RCE。

添加目标ip

运行exp：

python2运行exp即可执行成功，在目标机器上启动了一个计算器。

总结：

iis还是比较重要的，因为之前二面问到了比较详细的中间件漏洞，一个是Apache，一个就是IIS。

本文为我原创本文禁止转载或摘编