IIS解析漏洞

骑猪看日落 2024-02-23 08:06 8阅读 0赞

## 环境搭建 ##

参考：[奇安信攻防社区-IIS渗透合集][-IIS]

##  ##

#### 常见的解析漏洞： ####

> IIS 5.x/6.0解析漏洞  
> IIS 7.0/IIS 7.5/  
> Nginx <0.8.3畸形解析漏洞  
> Nginx <8.03 空字节代码执行漏洞  
> Apache解析漏洞

#### IIS6.X文件解析漏洞 ####

原理：

IIS文件解析漏洞：`*.asp;.xxx`像这样畸形的文件IIS只会把他当作xxx.asp文件执行不会看分号之后的内容。

在 IIS5.x/6.0 中， 分号后面的不被解析，xx.asp;.jpg 会被服务器看成是xx.asp。还有IIS6.0默认的可执行文件除了asp还包含这两种 .asa .cer 。而有些网站对用户上传的文件进行校验，只是校验其后缀名。所以我们只要上传 \*.asp;.jpg、\*.asa;.jpg、\*.cer;.jpg 后缀的文件，就可以通过服务器校验，并且服务器会把它当成asp文件执行。

靶机：Windows server 2003

开启：Active server pages（asp解析功能）

![fbb0387fca9b4e4595e468ce2c1dd82c.png][]

01.在目标网站目录下创建asp文件

命名为：ab.asp

![32b4d1c38e094152819b1f9da676ea25.png][]

本地访问：

![408f0d045b4f4999b5f62d93b47d221b.png][]

修改文件后缀：ab.asp;.jpg

![55f071e5c444451bbd5667b5a6e59170.png][]

02.asp文件写入一句话木马

![a6a83089664d4233b4431d7972bf87a1.png][]蚁剑连接

![67cda993864c4aa3aca80da610da57ae.png][]

#### IIS6.X目录解析漏洞 ####

在 IIS5.x/6.0 中，在网站下建立文件夹的名字为\*.asp、\*.asa、\*.cer、\*.cdx 的文件夹，那么其目录内的任何扩展名的文件都会被IIS当做asp文件来解释并执行。例如创建目录 cd.asp，那么 /cd.asp/1.jpg 将被当做asp文件来执行.

01.创建asp目录

![809ee1298430402b8b94367f7e4cfe4a.png][]

将木马复制到cd.asp目录

![dbd92b9fc24c4d618e2e4000e88bb093.png][]

02.蚁剑连接

![eb687c8062484374906f7330735a09e2.png][]![569c638b96f14aa2a1bb80923661a867.png][]

##### 防御 #####

1.设置权限无

![cc296ee6d2434d9b99fc45958ca295ea.png][]

2.不允许新建目录。  
3.上传的文件需经过重命名（时问戳+随机数+jpg等）

#### IIS7.X解析漏洞 ####

##### 原理 #####

IIS7.x版本在Fast-CGl运行模式下，在任意文件，例：cd.jpg后面加上/.php，会将cd.jpg解析为php文件

由于php配置文件中，开启了 cgi.fix\_pathinfo ，而这并不是nginx或者iis7.5本身的漏洞

参考：

[文件解析漏洞总结（IIS,APACHE,NGINX）\_st3pby的博客-CSDN博客][IIS_APACHE_NGINX_st3pby_-CSDN]

[-IIS]: https://forum.butian.net/share/331
[fbb0387fca9b4e4595e468ce2c1dd82c.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/23/4f1b69154ff04c83a7c9d0f3a482a589.png
[32b4d1c38e094152819b1f9da676ea25.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/23/7b88c0ffea2c4c24ade0fbb60f0066c5.png
[408f0d045b4f4999b5f62d93b47d221b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/23/c1138658b9b04b1cb8f885b0701eec7f.png
[55f071e5c444451bbd5667b5a6e59170.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/23/0285902f263c402f8a62f46ae99735a3.png
[a6a83089664d4233b4431d7972bf87a1.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/23/8c957b6870314abfa682cfdecc9c1c0c.png
[67cda993864c4aa3aca80da610da57ae.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/23/f7ea0341fd47495b8791e3227339e429.png
[809ee1298430402b8b94367f7e4cfe4a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/23/f6c2ad3ff0ef4b24aa4494e7b733aaed.png
[dbd92b9fc24c4d618e2e4000e88bb093.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/23/c2eb1dfa36764d588bb2a8cd863e2fa7.png
[eb687c8062484374906f7330735a09e2.png]: https://img-blog.csdnimg.cn/eb687c8062484374906f7330735a09e2.png
[569c638b96f14aa2a1bb80923661a867.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/23/8f9dc3e0d64d49f7aa080ddf5c3be93f.png
[cc296ee6d2434d9b99fc45958ca295ea.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/02/23/b62e33c8e911459ca15058a84b96111e.png
[IIS_APACHE_NGINX_st3pby_-CSDN]: https://blog.csdn.net/st3pby/article/details/127676132?ops_request_misc=&request_id=&biz_id=102&utm_term=IIS%E6%96%87%E4%BB%B6%E8%A7%A3%E6%9E%90%E6%BC%8F%E6%B4%9E&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduweb~default-3-127676132.142%5Ev96%5Epc_search_result_base1&spm=1018.2226.3001.4187