漏洞成因
為兼容16位MS-DOS程序奸焙,Windows為文件名較長的文件(文件夾)生成了對應(yīng)的windows8.3短文件名。
并且在Windows下查看對應(yīng)的短文件名锁摔,可以使用命令 dir /x片排。
此漏洞實(shí)際是由HTTP請求中舊DOS 8.3名稱的代字符(?)波浪號引起的。它允許遠(yuǎn)程攻擊者在Web根目錄下公開文件或文件夾名稱猴抹,這通常是不應(yīng)該被訪問到的。攻擊者可以找到通常無法從外部直接訪問的重要文件锁荔,并獲取有關(guān)應(yīng)用程序基礎(chǔ)結(jié)構(gòu)的信息。
實(shí)際用處
1蝙砌、猜后臺(tái)阳堕。
2、猜敏感文件择克,例如備份的rar恬总、zip、.bak肚邢、.SQL文件等壹堰。
3、在某些情形下骡湖,甚至可以通過短文件名直接下載對應(yīng)的文件贱纠。比如下載備份SQL文件。
漏洞的局限性
1响蕴、只能猜解前六位谆焊,以及擴(kuò)展名的前3位。
2浦夷、名稱較短的文件是沒有相應(yīng)的短文件名的辖试。
3辜王、需要IIS和.net兩個(gè)條件都滿足。
漏洞修復(fù)
1罐孝、升級.net framework
2呐馆、修改注冊表鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem修改NtfsDisable8dot3NameCreation為1。
3莲兢、將web文件夾的內(nèi)容拷貝到另一個(gè)位置汹来,比如D:\www到D:\www.back,然后刪除原文件夾D:\www怒见,再重命名D:\www.back到D:\www俗慈,如果不重新復(fù)制,已經(jīng)存在的短文件名則是不會(huì)消失的遣耍。
IIS短文件名漏洞利用實(shí)例
一個(gè)站闺阱,密碼不是弱口令,還有驗(yàn)證碼舵变,自然不好爆破之類
掃描后臺(tái)結(jié)果顯示
訪問/test.aspx
酣溃??纪隙?赊豌?
云悉信息搜集顯示
Iis7.5和.net都具備了可以考慮一波是否存在iis短文件名漏洞
我使用的是李劼杰的工具:
https://github.com/lijiejie/IIS_shortname_Scanner
掃描結(jié)果如下
4個(gè)目錄,共找到6個(gè)文件绵咱,現(xiàn)在開始猜解文件名
最后猜到/rninde~1.asp*應(yīng)該是/rnindex.aspx,訪問該頁面
發(fā)現(xiàn)沒有了驗(yàn)證碼碘饼,我們便可以嘗試爆破登錄等。
通過這個(gè)案例總結(jié)一下
iis短文件名漏洞危害說大也大悲伶,說小也小艾恼。
危害大在于它可以讓訪問到一些未經(jīng)授權(quán)的網(wǎng)站甚至下載到一些東西。
危害小在于猜解文件名有時(shí)還真不一定猜得出來麸锉,而且不是所以猜解出文件名的頁面都有用處钠绍。
