中间件漏洞记录--1
目录
1.解析漏洞
iis6.0
漏洞原理
漏洞复现 win2003+iis6.0
文件夹解析漏洞">1> 文件夹解析漏洞
扩展名解析漏洞">2> 扩展名解析漏洞
iis7.0/7.5
原理
漏洞复现 IIS7.5 + Fast-CGI
2.PUT漏洞
漏洞原理
漏洞复现win2003+iis6.0
开始测试">1> 开始测试
3.短文件名
漏洞原理
漏洞复现 win2003+WebDAV+ASP.NET
如果文件名长度 >= 9,就会产生短文件名">1> 如果文件名长度 >= 9,就会产生短文件名
此时去猜解短文件名">2> 此时去猜解短文件名
404 就说明存在">3> 404 就说明存在
400就说明不存在">4> 400就说明不存在
猜猜"> 5> 猜猜
4.远程代码执行
打开msf">1> 打开msf
配置msf"> 2>配置msf
漏洞原理
iis 6.0 在处理文件解析时会存在两个解析漏洞
- 当文件为 *.asp;.jpg、*.asa;.jpg、*.cer;.jpg、*.cdx;.jpg 时,iis6.0 依然会将其以 asp 文件来执行
- 当目录名 为 *.asp、*.asa、*.cer、*.cdx 时,,会将目录下的所有文件作为 asp 文件进行解析
先在靶机写一个asp脚本(返回当前时间)
<% response.write(now()) %>
然后将其后缀改为jpg
尝试访问,直接访问时,不能解析
但将其放在以 xxx.asp 为名的文件夹下,接可以直接解析
同上创建asp脚本,,改名为 1.asp;.jpg
访问也能解析成功
原理
IIS7.0/7.5在Fast-CGI运行模式下,在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为 php 文件。
正常的.jpg文件不能解析
但是在后面加上/xxx.php 就可以解析
就可以配合文件上传
漏洞原理
WebDav(Web-based Distributed Authoring and Versioning)是一种基于HTTP 1.1协议的通信协议,它扩展了HTTP协议,在GET、POST、HEAD等几个HTTP标准方法外添加了一些新的方法。
在开启WebDav扩展的服务器后,如果支持PUT、Move、Copy、Delete等方法,就可能会存在一些安全隐患,攻击者可以通过PUT方法向服务器上传危险脚本文件。
1>>先探测服务器支持的HTTP方法(抓个包,改成这样然后go)
OPTIONS / HTTP/1.1 Host: 192.168.129.136
2>>使用PUT写入小马(txt文档)
可以查看,写入成功
3>>通过COPY方法修改文件名
然后直接可以上蚁剑去连接
漏洞原理
IIS的短文件名机制,可以暴力猜解短文件名,访问构造的某个存在的短文件名,会返回404,访问构造的某个不存在的短文件名,返回400。
文件名的前6位加上 ~1
http://192.168.129.136/*~1*/a.aspx 格式就是这样,*来匹配东西
抓个包方便操作
没有以kkk开头的文件
这个程度就可以判断,存在短文件名为 aaaaaa~1.asp 的文件
但是却不能以短文件名去访问文件
IIS短文件利用工具:https://github.com/irsdl/IIS-ShortName-Scanner
不知道是打开方式不对还是什么,,扫的不是很准确
漏洞复现 kali msf + win2003-WebDAV
GitHub - zcgonvh/cve-2017-7269: fixed msf module for cve-2017-7269
先下载这个攻击模块,然后复制到msf的模块里
cp cve-2017-7269.rb /usr/share/metasploit-framework/modules/exploits/windows/iis/
先要执行 reload_all ,不然可能找不到模块
先search cve-2017-7269 ,再use
直接set设置目标ip就行
直接可以得到shell