IIS - 短文件名猜解漏洞

漏洞知识库

网络安全/渗透测试/代码审计/

关注

IIS - 短文件名猜解漏洞

短文件名介绍

为了兼容16MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的Windows 8.3短文件名。

短文件名的查看

首先在C盘下多创建几个文件:(有不同的后缀名,都是比较长的文件名)

aaaaaaaaaaaa.txt
bbbbbbbbbbbb.asp
abcdefghijk.txt
abcdefghig.php

打开命令提示符,来到C盘下,查看短文件名的命名方式:dir /x

C:\>dir /x
 驱动器 C 中的卷没有标签。
 卷的序列号是 509E-D608

 C:\ 的目录

2019-08-02  12:37                 0 AAAAAA~1.TXT aaaaaaaaaaaaa.txt
2019-08-02  12:47                 0              abc.txt
2019-08-02  12:39                 0 ABCDEF~1.PHP abcdefghig.php
2019-08-02  12:39                 0 ABCDEF~1.TXT abcdefghijk.txt
2019-07-23  11:47                 0              AUTOEXEC.BAT
2019-08-02  12:37                 0 BBBBBB~1.ASP bbbbbbbbbbbbbb.aspx
2019-07-23  11:47                 0              CONFIG.SYS
2019-07-23  11:49    <DIR>          DOCUME~1     Documents and Settings
2019-07-23  11:59    <DIR>          FPSE_S~1     FPSE_search
2019-07-23  11:59    <DIR>                       Inetpub
2019-07-23  11:51    <DIR>          PROGRA~1     Program Files
2019-07-23  13:17    <DIR>                       WINDOWS
2019-07-23  11:47    <DIR>                       wmpub
               7 个文件              0 字节
               6 个目录 28,107,870,208 可用字节

C:\>

可以看到我们第一个文件:aaaaaaaaaaaaa.txt这个文件,他显示的短文件名形式是大写的AAAAAA~1.TXT

abcdefghig.php这个文件,他显示的短文件名形式也是大写的ABCDEF~1.PHP

后面的也一样,只保留前六位数文件名 + + 1.后缀名

这时候,我们再创建一个文件:abc.txt,然后在用dir /x查看一下:

可以看到,前面并没有短文件名,因为它本身长度就不是特别的长!

从以上实验得出短文件名的特征:

短文件名特征

1、只有前六位字符直接显示,后续字符用~1指代。其中数字1还可以递增,如果存在多个文件名类似的文件(名称前6位必须相同,且后缀名前3位必须相同)

2、后缀名最长只有3位,多余的被截断,超过3位的长文件会生成短文件名

3、所有小写字母都会转换成大写字母

4、长文件名中含有多个.,以文件名最后一个.作为短文件名后缀

5、长文件名前缀/文件夹名字符长度符合0-9Aa-Zz范围且需要大于等于9位才会生成短文件名,如果包含空格或者其他部分特殊字符,不论长度均会生成短文件。

漏洞成因

攻击者使用通配符*?发生一个请求到IIS,当IIS接收到一个文件路径中包含~请求时,它的反应是不同的,即返回的HTTP状态码和错误信息不同。基于这个特点,可以根据HTTP的响应区分一个可用或者不可用的文件。访问构造的某个存在的短文件名,会返回404;访问构造的某个不存在的短文件名,会返回400(报错页面)

IIS短文件猜解漏洞复现(手工测试)

因为我开着IIS的虚拟机的IP是192.168.119.133,所以我直接访问这个URL:

http://192.168.119.133/a*~1*/.aspx

/a*~1*/的意思就是,用首字母a这个字符去匹配,也就是首字母a是否存在这个短文件名。~1这个和上面的短文件名特征是一样的,代表了它是一个短文件名。

如果说这个页面返回的状态码是404的话,那么这个短文件名是存在的!如果返回的是400,泽说明这个短文件名是不存在的!

从上图可以得出,返回的页面状态码是404,说明网站更目录下有一个文件是以a开头的短文件名。

aspnet_client这个文件夹是iis自带的文件夹目录,所以会显示存在!

这个时候我们测试一个不存在的文件或者文件名:

访问URL:

http://192.168.119.133/c*~1*/.aspx

返回的状态码是400,说明不存在c开头的短文件名。

IIS短文件名猜解漏洞复现(工具测试)

用到的工具来自Github上的IIS短文件名猜解工具:IIS_shortname_Scanner

用法是:iis_shortname_Scan.py 目标主机

python iis_shortname_Scan.py http://192.168.119.133

用之前,我们先把刚刚创建的那些文件复制到我们的网站更目录,然后再使用:

E:\HACK\IIS短文件名猜解工具\IIS_shortname_Scanner>python iis_shortname_Scan.py h
ttp://192.168.119.133
Server is vulnerable, please wait, scanning...
[+] /a~1.*      [scan in progress]
[+] /b~1.*      [scan in progress]
[+] /ab~1.*     [scan in progress]
[+] /aa~1.*     [scan in progress]
[+] /bb~1.*     [scan in progress]
[+] /as~1.*     [scan in progress]
[+] /abc~1.*    [scan in progress]
[+] /aaa~1.*    [scan in progress]
[+] /bbb~1.*    [scan in progress]
[+] /asp~1.*    [scan in progress]
[+] /abcd~1.*   [scan in progress]
[+] /aaaa~1.*   [scan in progress]
[+] /bbbb~1.*   [scan in progress]
[+] /aspn~1.*   [scan in progress]
[+] /abcde~1.*  [scan in progress]
[+] /aaaaa~1.*  [scan in progress]
[+] /bbbbb~1.*  [scan in progress]
[+] /aspne~1.*  [scan in progress]
[+] /abcdef~1.* [scan in progress]
[+] /aaaaaa~1.* [scan in progress]
[+] /bbbbbb~1.* [scan in progress]
[+] /aspnet~1.* [scan in progress]
[+] /abcdef~1.p*        [scan in progress]
[+] /abcdef~1.t*        [scan in progress]
[+] /aaaaaa~1.t*        [scan in progress]
[+] /bbbbbb~1.a*        [scan in progress]
[+] /aspnet~1   [scan in progress]
[+] Directory /aspnet~1 [Done]
[+] /abcdef~1.ph*       [scan in progress]
[+] /abcdef~1.tx*       [scan in progress]
[+] /aaaaaa~1.tx*       [scan in progress]
[+] /bbbbbb~1.as*       [scan in progress]
[+] /abcdef~1.php*      [scan in progress]
[+] File /abcdef~1.php* [Done]
[+] /abcdef~1.txt*      [scan in progress]
[+] File /abcdef~1.txt* [Done]
[+] /aaaaaa~1.txt*      [scan in progress]
[+] File /aaaaaa~1.txt* [Done]
[+] /bbbbbb~1.asp*      [scan in progress]
[+] File /bbbbbb~1.asp* [Done]
----------------------------------------------------------------
Dir:  /aspnet~1
File: /abcdef~1.php*
File: /abcdef~1.txt*
File: /aaaaaa~1.txt*
File: /bbbbbb~1.asp*
----------------------------------------------------------------
1 Directories, 4 Files found in total
Note that * is a wildcard, matches any character zero or more times.

可以从上图中对照一下看看,成功猜解出我们网站更目录下的短文件名!

漏洞修复

1、升级.net framework

2、修改注册表键值:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem

修改NtfsDisable8dot3NameCreation11代表不创建短文件名格式,修改完成后,需要重启系统生效。

本文分享自微信公众号 - 漏洞知识库(HackedBug)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-09-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Rgc

Airflow速用

Airflow是Apache用python编写的,用到了 flask框架及相关插件,rabbitmq,celery等(windows不兼容);、

26810
来自专栏Java架构师历程

Nginx多个子域名映射到不同的端口或 ip

我决定采用采用 子域名区分服务 的方式,然后使用 nginx 做反向代理,分发到不同的端口。

24710
来自专栏sringboot

Vue 安装 axios 以及封装

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

10430
来自专栏测试技术圈

浅谈Nginx缓存

在了解Nginx缓存前 先了解Nginx的一般是作为反向代理服务器以及负载均衡服务器的.

13310
来自专栏sringboot

CAS单点登录原理解析(转载)

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

8130
来自专栏sringboot

zuul路由代理设置

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

7710
来自专栏全栈者

50道常见的js面试题

string, boolean, number, undefined, function, object

13410
来自专栏sringboot

SpringMVC response返回参数绑定

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

11540
来自专栏sringboot

vue post请求参数在controller层无法封装问题

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

10630
来自专栏DevOps持续集成

整理Jenkins与Gitlab的交互方式

在做持续集成的过程中,项目的代码管理基本上采用的就是gitlab。在进行集成流水线的过程中需要跟gitlab做一些交互。

12110

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励