IIS短文件名泄露

漏洞的成因

为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3 短文件名。

在Windows下查看对应的短文件名,可以使用命令dir /x。

比如,我在D盘下创建了一个名为aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.html文件:
D:\>dir /x
 驱动器 D 中的卷是 Data
 卷的序列号是 3EDF-2E00

D:\ 的目录

2014/10/11  13:08   256,515,706   2014101.sql
2014/10/13  17:01   0 AAAAAA~1.HTM aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.html
     2 个文件    256,515,706 字节
     0 个目录 107,017,154,560 可用字节

观察命令结果,可以看到,其对应的短文件名 AAAAAA~1.HTM。该短文件名有以下特征:

(1)只有前六位字符直接显示,后续字符用~1指代。其中数字1还可以递增,如果存在多个文件名类似的文件(名称前6位必须相同,且后缀名前3位必须相同)。
(2)后缀名最长只有3位,多余的被截断。

我们可以在启用.net的IIS下暴力列举短文件名,原因是:

(1)访问构造的某个存在的短文件名,会返回404;
(2)访问构造的某个不存在的短文件名,会返回400。

【这个漏洞的意义何在】:

(1)猜解后台地址
(2)猜解敏感文件,例如备份的rar、zip、.bak、.SQL文件等。
(3)在某些情形下,甚至可以通过短文件名web直接下载对应的文件。比如下载备份SQL文件。

举个例子,有一个数据库备份文件 backup_20180101.sql ,它对应的短文件名是 backup~1.sql 。因此攻击者只要暴力破解出backup~1.sql即可下载该文件,而无需破解完整的文件名。

 

漏洞的利用

手工猜解

漏洞的利用,需要使用到通配符*。在windows中,*可以匹配n个字符,n可以为0。判断某站点是否存在IIS短文件名暴力破解,构造payload,分别访问如下两个URL:

  1. http://www.target.com/*~1****/a.aspx
  2. http://www.target.com/l1j1e*~1****/a.aspx


 

 

服务器返回404。

 

 

这里我使用了4个星号,主要是为了程序自动化猜解,逐个猜解后缀名中的3个字符,实际上,一个星号与4个星号没有任何区别(上面已经提到,*号可以匹配空)。

 

如果访问第一个URL,返回404。而访问第二个URL,返回400。 则目标站点存在漏洞。

判断漏洞存在后,继续猜解目录下是否存在一个a开头的文件或文件夹,访问: http://www.target.com/a*~1****/a.aspx 如果存在,将返回404。

如此反复,不断向下猜解完所有的6个字符。猜解完之后,得到的序列应该类似:http://www.target.com/abcdef*~1****/a.aspx

到了这一步,需要考虑两种情况,如果以abcdef开头的是一个文件夹,则 http://www.target.com/abcdef*~1/a.aspx 将返回404。

如果abcdef开头的是一个文件,则自动提交:http://www.target.com/abcdef*~1*g**/a.aspx 用a-z的26个字母替换上述g的位置,应该能得到多个404页面。(记住一点,404代表的是存在。)如果下面的地址返回404,http://www.target.com/abcde*~1*g**/a.aspx 则代表扩展名中肯定存在g。

按照上面的思路,继续猜解g后面的字符,直到后缀名中的3个字符都猜解完,就可以了。

工具验证

 

 

使用IIS短文件名泄漏利用工具对漏洞进行利用:

 

 

漏洞修复以后:

 

 

 

 漏洞的局限
这个漏洞的局限有几点:
1、此漏洞只能确定前6个字符,如果后面的字符太长、包含特殊字符,很难猜解;
2、如果文件名本身太短(无短文件名)也是无法猜解的;
3、需要IIS和.net两个条件都满足;
4、不支持中文文件名,包括中文文件和中文文件夹。一个中文相当于两个英文字符,故超过4个中文字会产生短文件名,但是IIS不支持中文猜测。

 

漏洞的修复
CMD关闭NTFS 8.3文件格式的支持
举例:(1代表关闭,0代表开启)

Windows Server 2008 R2:

查询是否开启短文件名功能:fsutil 8dot3name query
关闭该功能:fsutil 8dot3name set 1
1
2
Windows Server 2003:

关闭该功能:fsutil behavior set disable8dot3 1
1
不同系统关闭命令稍有区别,该功能默认是开启的,对于大多数用户来说无需开启。

修改注册表禁用短文件名功能
快捷键Win+R打开命令窗口,输入regedit打开注册表窗口

找到路径:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem,将其中的 NtfsDisable8dot3NameCreation这一项的值设为 1,1代表不创建短文件名格式

修改完成后,需要重启系统生效

注:此方法只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除,需要重新复制才会消失。

以下两种方法仅适用于缓解GET 方法,其他方法依旧可以猜解。

关闭Web服务扩展- ASP.NET

升级netFramework至4.0以上版本


————————————————
版权声明:本文为CSDN博主「TrueBW」的原创文章,遵循CC 4.0 BY-SA版权协议
原文链接:https://blog.csdn.net/weixin_39190897/article/details/88031228

 

posted @ 2021-05-13 10:22  paku  阅读(599)  评论(0编辑  收藏  举报