IIS短文件/文件夹漏洞漏洞利用及威胁汇总

30SOC在线监控平台在上半月发现爆出最新的IIS应用漏洞——IIS短文件/文件夹漏洞，由于这个漏洞源于IIS的程序问题，所以威胁的网站数量非常庞大，三零卫士也在后续的时间内时刻关注该漏洞的最新进展，通过短暂的研究和跟踪虽然可以认为该漏洞只属于中风险，但是在结合其他攻击手段后可以达到威胁网站或服务器的效果，为了更详细的了解该漏洞的原理，30SOC研究预员给出相关的测试方法和解决方案。

 

漏洞原理

使用通配符”*” 和 “?”发送一个请求到iis,当IIS接收到一个文件路径中包含”~”的请求时，它的反应是不同的.基于这个特点，可以根据http的响应区分一个可用或者不可用的文件。如下图所示不同IIS版本返回信息的不同。

下图为通过短文件名猜解长文件名的过程。

其实， 也就只能确定前6个字符，如果后面的字符太长、包含特殊字符，那么就很难猜解。另外如果文件本身太短也是无法猜解的。Soroush Dalilide研究是通过对目标网站或同类型网站爬虫，爬出建立一个字典库，再与得到的短文件名来猜剩下的字符。第二是可以利用fuzzdb(一个应用程序模糊测试(fuzzing)数据库)来猜解。第三个是结合OWASP的dirbuster（一款路径及网页暴力破解的工具）。
 最后Soroush Dalilide给出了运用他研究的方法猜解的测试PoC代码：http://code.google.com/p/iis-shortname-scanner-poc/

另外，Soroush Dalilide研究中还提到可以绕过Basic and Windows认证，猜解认证目录下的文件。以下是II5.0绕过认证的方法：详细可见原文研究http://soroush./blog/2010/07/iis5-1-directory-authentication-bypass-by-using-i30index_allocation/
“/AuthNeeded:$i30:$INDEX_ALLOCATION/secretfile.asp”
 Instead of:
 “/AuthNeeded/secretfile.asp”
 但是并不是所有版本的IIS都能够绕过认证。应该是在可绕过的前提下猜解，形式如下：
 /AuthNeeded::$Index_Allocation/*~1*/.aspx
或者
 /AuthNeeded:$I30:$Index_Allocation/*~1*/.aspx

修复建议：
 

1、禁止url中使用“~”或它的Unicode编码。
2、关闭windows的8.3格式功能。