一、 什么是IIS

Internet Information Services（IIS，以前稱為Internet Information Server）互聯(lián)網(wǎng)信息服務(wù)是Microsoft公司提供的可擴(kuò)展Web服務(wù)器，支持HTTP，HTTP/2，HTTPS，F(xiàn)TP，F(xiàn)TPS，SMTP和NNTP等。起初用于Windows NT系列，隨后內(nèi)置在Windows 2000、Windows XP Professional、Windows Server 2003和后續(xù)版本一起發(fā)行，但在Windows XP Home版本上并沒有IIS。IIS目前只適用于Windows系統(tǒng)，不適用于其他操作系統(tǒng)。

根據(jù)Netcraft在2017年2月的數(shù)據(jù)顯示，IIS在“百萬(wàn)最繁忙網(wǎng)站”中的市場(chǎng)份額為10.19％，成為全球第三大網(wǎng)絡(luò)服務(wù)器，落后于Apache 41.41％和 Nginx 28.34％。目前流行的Windows版本都默認(rèn)安裝IIS服務(wù) ,但同時(shí) IIS的安全性一直被業(yè)內(nèi)詬病，一旦IIS出現(xiàn)高危漏洞威脅將會(huì)非常嚴(yán)重。

推薦（免費(fèi)）：iis

在接觸IIS漏洞之前我們先來(lái)了解下不同Windows系統(tǒng)下默認(rèn)內(nèi)置的IIS版本，以便更好的理解和區(qū)分IIS漏洞的影響范圍：

圖1 各Windows版本默認(rèn)IIS版本

二、 IIS漏洞大全

千里目實(shí)驗(yàn)室搜集了下近十五載的IIS相關(guān)漏洞，中、高危漏洞共計(jì)39個(gè)，其中15年爆發(fā)的(MS15-034)HTTP.sys 遠(yuǎn)程執(zhí)行代碼漏洞和16年的(MS16-016)WebDAV 特權(quán)提升漏洞影響范圍尤其廣泛。

圖2 近15年IIS漏洞大全

看了上面IIS 近十幾年的漏洞后，你也許會(huì)問(wèn)，怎么沒有看到本文的主人公“IIS短文件漏洞”呢？！在了解IIS漏洞大家庭前，我們先通過(guò)IIS短文件來(lái)了解下Windows下IIS的一些特性。

三、 IIS短文件

1. IIS短文件漏洞的由來(lái)

Microsoft IIS 短文件/文件夾名稱信息泄漏最開始由Vulnerability Research Team（漏洞研究團(tuán)隊(duì)）的Soroush Dalili在2010年8月1日發(fā)現(xiàn)，并于2010年8月3日通知供應(yīng)商（微軟公司）。微軟公司分別于2010年12月1日和2011年1月4日給予答復(fù)下個(gè)版本修復(fù)。2012年6月29日，此漏洞公開披露（中危）。

此漏洞實(shí)際是由HTTP請(qǐng)求中舊DOS 8.3名稱約定（SFN）的代字符（?）波浪號(hào)引起的。它允許遠(yuǎn)程攻擊者在Web根目錄下公開文件和文件夾名稱（不應(yīng)該可被訪問(wèn)）。攻擊者可以找到通常無(wú)法從外部直接訪問(wèn)的重要文件，并獲取有關(guān)應(yīng)用程序基礎(chǔ)結(jié)構(gòu)的信息。

Microsoft IIS 波浪號(hào)造成的信息泄露是世界網(wǎng)絡(luò)范圍內(nèi)最常見的中等風(fēng)險(xiǎn)漏洞。這個(gè)問(wèn)題至少?gòu)?990年開始就已經(jīng)存在，但是已經(jīng)證明難以發(fā)現(xiàn)，難以解決或容易被完全忽略。

2. IIS短文件漏洞影響范圍及危害

2.1受影響的版本：

IIS 1.0，Windows NT 3.51
IIS 3.0，Windows NT 4.0 Service Pack 2
IIS 4.0，Windows NT 4.0選項(xiàng)包
IIS 5.0，Windows 2000
IIS 5.1，Windows XP Professional和Windows XP Media Center Edition
IIS 6.0，Windows Server 2003和Windows XP Professional x64 Edition
IIS 7.0，Windows Server 2008和Windows Vista
IIS 7.5，Windows 7（遠(yuǎn)程啟用<customErrors>或沒有web.config）

IIS 7.5，Windows 2008（經(jīng)典管道模式）

注意：IIS使用.Net Framework 4時(shí)不受影響

（以上數(shù)據(jù)來(lái)源：https://www.securityfocus.com/archive/1/523424）

經(jīng)驗(yàn)證，以上受影響范圍主要是針對(duì)HTTP GET方法，且需要同時(shí)安裝ASP.NET應(yīng)用程序。該漏洞發(fā)現(xiàn)者在2014年再次披露：在測(cè)試IIS 7.5(Windows 2008 R2)和IIS 8.0(Windows 2012)過(guò)程中，當(dāng)使用OPTIONS來(lái)代替GET 方法時(shí)，如果請(qǐng)求中的短文件名是存在的，IIS就會(huì)返回一個(gè)不一樣的錯(cuò)誤信息。利用這種特點(diǎn)，攻擊者就可以在最新的IIS版本中，實(shí)現(xiàn)基于短文件名的文件或目錄掃描了。

目前IIS支持短文件名猜測(cè)的HTTP方法主要包括：DEBUG、OPTIONS、GET、POST、HEAD、TRACE六種，經(jīng)千里目實(shí)驗(yàn)室驗(yàn)證，IIS 8.0、IIS 8.5和IIS 10.0的短文件名稱均可以通過(guò)OPTIONS和TRACE方法被猜測(cè)成功。所以上述受影響版本需要再加上如下版本：

IIS 8.0，Windows 8, Windows Server 2012

IIS 8.5，Windows 8.1,Windows Server 2012 R2

IIS 10.0，Windows 10, Windows Server 2016

可以看到，IIS全部版本都存在短文件名泄漏的問(wèn)題，微軟似乎忽視了這個(gè)問(wèn)題。從微軟回復(fù)該漏洞發(fā)現(xiàn)者的消息可以看出，IIS短文件漏洞未達(dá)到安全更新標(biāo)準(zhǔn)，且需要確定何時(shí)在下一個(gè)邏輯版本中解決它。

2.2漏洞危害：

2.2.1 利用“~”字符猜解暴露短文件/文件夾名 （主要危害）

Windows 支持以 8.3 格式生成與 MS-DOS 兼容的（短）文件名，以允許基于 MS-DOS 或 16 位 Windows的程序訪問(wèn)這些文件。在cmd下進(jìn)入IIS網(wǎng)站根目錄C:inetpubwwwroot輸入“dir /x”即可看到短文件名的效果：

圖3 IIS短文件名

如上圖是Windows 10內(nèi)置的IIS 10.0默認(rèn)站點(diǎn)根目錄，iisstart.htm和iisstart.png是網(wǎng)站默認(rèn)文件，文件名前綴字符長(zhǎng)度均沒有達(dá)到9位，所以沒有短文件名。IIS10test.html是人為添加的網(wǎng)站文件，文件名前綴字符長(zhǎng)度達(dá)到了9位，對(duì)應(yīng)的短文件名為IIS10T~1.HTM。根據(jù)此特性，我們能夠通過(guò)訪問(wèn)短文件名間接訪問(wèn)它對(duì)應(yīng)的文件。

由于短文件名的長(zhǎng)度固定（xxxxxx~xxxx），因此攻擊者可直接對(duì)短文件名進(jìn)行暴力破解 ，從而訪問(wèn)對(duì)應(yīng)的文件。

舉個(gè)例子，有一個(gè)數(shù)據(jù)庫(kù)備份文件 backup_20180101.sql ，它對(duì)應(yīng)的短文件名是 backup~1.sql 。因此攻擊者只要暴力破解出backup~1.sql即可下載該文件，而無(wú)需破解完整的文件名。

IIS短文件名有以下幾個(gè)特征：

1.只有前六位字符直接顯示，后續(xù)字符用~1指代。其中數(shù)字1還可以遞增，如果存在多個(gè)文件名類似的文件（名稱前6位必須相同，且后綴名前3位必須相同）；

2.后綴名最長(zhǎng)只有3位，多余的被截?cái)?，超過(guò)3位的長(zhǎng)文件會(huì)生成短文件名；

3.所有小寫字母均轉(zhuǎn)換成大寫字母；

4.長(zhǎng)文件名中含有多個(gè)“.”，以文件名最后一個(gè)“.”作為短文件名后綴；

5.長(zhǎng)文件名前綴/文件夾名字符長(zhǎng)度符合0-9和Aa-Zz范圍且需要大于等于9位才會(huì)生成短文件名，如果包含空格或者其他部分特殊字符，不論長(zhǎng)度均會(huì)生成短文件；

我們可以在啟用.net的IIS下使用GET方法暴力列舉短文件名，原因是攻擊者使用通配符“*”和“?”發(fā)送一個(gè)請(qǐng)求到IIS,當(dāng)IIS接收到一個(gè)文件路徑中包含“~”請(qǐng)求時(shí)，它的反應(yīng)是不同的，即返回的HTTP狀態(tài)碼和錯(cuò)誤信息不同。基于這個(gè)特點(diǎn)，可以根據(jù)HTTP的響應(yīng)區(qū)分一個(gè)可用或者不可用的文件。如下圖所示不同IIS版本返回信息的不同：

圖4 IIS 5.0 ~ IIS 7.X短文件猜解HTTP響應(yīng)信息

上圖是由此漏洞發(fā)現(xiàn)者Soroush Dalili在其研究報(bào)告中給出的IIS短文件合法和不合法猜解響應(yīng)信息的圖解：

訪問(wèn)構(gòu)造的某個(gè)存在的短文件名，會(huì)返回404；

訪問(wèn)構(gòu)造的某個(gè)不存在的短文件名，會(huì)返回400；

圖5 利用IIS 狀態(tài)碼猜解過(guò)程

以上方法是在IIS較低版本+ASP.NET環(huán)境下使用GET方法反復(fù)循環(huán)猜測(cè)，直到猜解出短文件名。

但是千里目實(shí)驗(yàn)室在真實(shí)環(huán)境驗(yàn)證發(fā)現(xiàn)，在IIS高版本（如：IIS 8.0/IIS 8.5/IIS 10.0），即使沒有安裝asp.net，通過(guò)OPTIONS和TRACE方法也可以猜解成功。這兩種方法猜解返回的HTTP狀態(tài)碼類型和上述截圖有些許出入，但是不失為另一種利用方式。

2.2.2 .Net Framework的拒絕服務(wù)攻擊 （副危害）

據(jù)Soroush Dalili在研究表明，攻擊者如果在文件夾名稱中向發(fā)送一個(gè)不合法的.Net文件請(qǐng)求，.NeFramework將遞歸搜索所有的根目錄，消耗網(wǎng)站資源進(jìn)而導(dǎo)致DOS問(wèn)題。微軟認(rèn)為此危害是可恢復(fù)的DOS，將在后續(xù)SP版本修改，此處不做探討研究。

3. IIS短文件漏洞復(fù)現(xiàn)和利用

3.1 IIS短文件漏洞復(fù)現(xiàn)

3.1.1 漏洞環(huán)境搭建

基于Win 10安裝默認(rèn)IIS 10.0 （未安裝APS.NET）

IIS短文件漏洞掃描Java程序（需要配置Java環(huán)境變量）

3.1.2 漏洞環(huán)境調(diào)試準(zhǔn)備

IIS 安裝成功以后，會(huì)默認(rèn)在C盤目錄下生成intpub目錄，網(wǎng)站的根目錄位于C:inetpubwwwroot，此時(shí)查看下根目錄是否存在短文件名：

由上圖可知，默認(rèn)IIS 10.0 網(wǎng)站根目錄不存在短文件名，只有默認(rèn)的htm和png文件，且名稱長(zhǎng)度未達(dá)到生成短文件的要求。下面使用IIS短文件掃描程序檢測(cè)下有無(wú)短文件信息泄漏漏洞：

3.1.3 漏洞環(huán)境復(fù)現(xiàn)

手動(dòng)創(chuàng)建網(wǎng)站長(zhǎng)文件名“IIS10test.html” ,自動(dòng)生成對(duì)應(yīng)短文件名“IIS10T~1.HTM”

使用IIS短文件掃描程序再次掃描，掃描發(fā)現(xiàn)存在短文件漏洞，且通過(guò)HTTP OPTIONS方法成功猜解出短文件名稱：IIS10T.HTM

修改漏洞掃描程序，注視掉OPTIONS方法，嘗試是否還有其他HTTP方法可以猜解成功。

驗(yàn)證發(fā)現(xiàn)，除了OPTIONS方法外，HTTP TRACE方法也能成功猜解出短文件名稱。

3.1.4 IIS漏洞OPTIONS、TRACE方法猜解分析

OPTIONS方法猜解分析

由于上述OPTIONS方法請(qǐng)求了196次才猜測(cè)出短文件名，猜測(cè)成功返回404，猜測(cè)失敗返回的是200，失敗的組合比較多，所以下面主要分析下404猜測(cè)成功的請(qǐng)求如何通過(guò)OPTIONS方法獲取短文件名IIS10T.HTM的。如下圖：

TRACE方法猜解分析

通過(guò)TRACE方法猜解的過(guò)程基本同上，只不過(guò)此HTTP方法猜解失敗返回的狀態(tài)碼不是200，而是501（未執(zhí)行）。

3.2 IIS短文件漏洞利用

1. 深入爆破猜測(cè)文件全名

通過(guò)IIS短文件漏洞猜測(cè)出來(lái)的短文件名稱，需要繼續(xù)猜測(cè)出全名才可以在IIS上進(jìn)行訪問(wèn)，即IIS由于安全原因不支持短文件名訪問(wèn)。以下是Soroush Dalili給出的幾種猜測(cè)文件全名的方法：

1) 通過(guò)對(duì)目標(biāo)網(wǎng)站或同類型網(wǎng)站進(jìn)行爬蟲，爬出建立一個(gè)字典庫(kù)，再與得到的短文件名來(lái)猜剩下的字符 ；

2) 利用fuzzdb(一個(gè)應(yīng)用程序模糊測(cè)試(fuzzing)數(shù)據(jù)庫(kù))來(lái)猜解；

3) 結(jié)合OWASP的dirbuster（一款路徑及網(wǎng)頁(yè)暴力破解的工具）。

Github上有研究人員已經(jīng)用python將上述方法實(shí)現(xiàn)，并且獲取到了網(wǎng)站后臺(tái)的用戶名和密碼，很好的利用了IIS短文件漏洞。

注： 研究報(bào)告地址：https://webbreacher.com/2014/10/23/tilde-enumeration/ （推薦）

python程序下載：https://github.com/WebBreacher/tilde_enum （推薦）

2. 結(jié)合支持短文件特性軟件（Apache、Wordpress）

Acunetix研究指出當(dāng)Apache運(yùn)行在windows下，如果創(chuàng)建了一個(gè)長(zhǎng)文件，那么無(wú)需猜解長(zhǎng)文件，直接用短文件就可以下載了。例如一個(gè)backup_20180101.sql的長(zhǎng)文件，其短文件是BACKUP~1.SQL，攻擊者只需要提交BACKUP~1.SQL就可以直接訪問(wèn)并下載該文件。

此外，有學(xué)者表明，其在安裝Wordpress備份插件之后，通過(guò)短文件名成功地訪問(wèn)到了了WordPress博客的備份文件。

3. 繞過(guò)Basic and Windows認(rèn)證

Soroush Dalilide研究中還提到，在某些IIS服務(wù)器配置下，可以繞過(guò)Basic and Windows認(rèn)證，猜解出認(rèn)證目錄下的文件。舉例，如果需要訪問(wèn)一個(gè)開啟認(rèn)證的目錄下文件時(shí)，比如這個(gè)目錄是“AuthNeeded”，那么可以通過(guò)如下方式訪問(wèn)：

/AuthNeeded::$Index_Allocation/*~1*/.aspx 或者

/AuthNeeded:$I30:$Index_Allocation/*~1*/.aspx

4. IIS短文件漏洞局限性

此漏洞存在以下幾個(gè)局限點(diǎn)：

1) 此漏洞只能確定前6個(gè)字符，如果后面的字符太長(zhǎng)、包含特殊字符，很難猜解；

2) 如果文件名本身太短（無(wú)短文件名）也是無(wú)法猜解的；

3) 如果文件名前6位帶空格，8.3格式的短文件名會(huì)補(bǔ)進(jìn)，和真實(shí)文件名不匹配；

4) 如果文件夾名前6位字符帶點(diǎn)“.”，掃描程序會(huì)認(rèn)為是文件而不是文件夾，最終出現(xiàn)誤報(bào)；

5) 不支持中文文件名，包括中文文件和中文文件夾。一個(gè)中文相當(dāng)于兩個(gè)英文字符，故超過(guò)4個(gè)中文字會(huì)產(chǎn)生短文件名，但是IIS不支持中文猜測(cè)。

5. IIS短文件漏洞解決方案

5.1 通用漏洞修復(fù)方案

1) CMD關(guān)閉NTFS 8.3文件格式的支持

舉例：（1代表關(guān)閉，0代表開啟）

Windows Server 2008 R2：

查詢是否開啟短文件名功能：fsutil 8dot3name query

關(guān)閉該功能：fsutil 8dot3name set 1

Windows Server 2003：

關(guān)閉該功能：fsutil behavior set disable8dot3 1

不同系統(tǒng)關(guān)閉命令稍有區(qū)別，該功能默認(rèn)是開啟的，對(duì)于大多數(shù)用戶來(lái)說(shuō)無(wú)需開啟。

2) 修改注冊(cè)表禁用短文件名功能

快捷鍵Win+R打開命令窗口，輸入regedit打開注冊(cè)表窗口

找到路徑：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem，將其中的 NtfsDisable8dot3NameCreation這一項(xiàng)的值設(shè)為 1，1代表不創(chuàng)建短文件名格式

修改完成后，需要重啟系統(tǒng)生效

注：此方法只能禁止NTFS8.3格式文件名創(chuàng)建,已經(jīng)存在的文件的短文件名無(wú)法移除，需要重新復(fù)制才會(huì)消失。

以下兩種方法僅適用于緩解GET 方法，其他方法依舊可以猜解。

3) 關(guān)閉Web服務(wù)擴(kuò)展- ASP.NET

4) 升級(jí)netFramework至4.0以上版本