IIS短文件漏洞深入解析与防御指南<\/h1>

一、IIS基础概述<\/h2>
Internet Information Services (IIS)<\/strong> 是微软提供的可扩展Web服务器，支持HTTP、HTTPS、FTP等多种协议。IIS随Windows NT系列操作系统一起发布，目前全球市场份额约为10.19%，是全球第三大Web服务器。<\/p>

各Windows版本默认IIS版本对应关系<\/h3>

Windows版本<\/th> 默认IIS版本<\/th> <\/tr> <\/thead>

Windows NT 3.51<\/td> IIS 1.0<\/td> <\/tr>
Windows NT 4.0 SP2<\/td> IIS 3.0<\/td> <\/tr>
Windows NT 4.0选项包<\/td> IIS 4.0<\/td> <\/tr>
Windows 2000<\/td> IIS 5.0<\/td> <\/tr>
Windows XP Pro\/Media Center<\/td> IIS 5.1<\/td> <\/tr>
Windows Server 2003\/XP Pro x64<\/td> IIS 6.0<\/td> <\/tr>
Windows Server 2008\/Vista<\/td> IIS 7.0<\/td> <\/tr>
Windows 7\/Server 2008 R2<\/td> IIS 7.5<\/td> <\/tr>
Windows 8\/Server 2012<\/td> IIS 8.0<\/td> <\/tr>
Windows 8.1\/Server 2012 R2<\/td> IIS 8.5<\/td> <\/tr>
Windows 10\/Server 2016<\/td> IIS 10.0<\/td> <\/tr> <\/tbody> <\/table>
二、IIS短文件漏洞详解<\/h2>
1. 漏洞背景<\/h3>

发现时间<\/strong>：2010年8月由Soroush Dalili发现<\/li>
漏洞本质<\/strong>：由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(~)引起<\/li>
漏洞状态<\/strong>：微软认为未达安全更新标准，至今未完全修复<\/li> <\/ul>
2. 影响范围<\/h3>
受影响版本<\/strong>：<\/p>

IIS 1.0 - IIS 7.5（使用GET方法，需安装ASP.NET）<\/li>
IIS 8.0、IIS 8.5和IIS 10.0（使用OPTIONS和TRACE方法，无需ASP.NET）<\/li> <\/ul>
不受影响情况<\/strong>：使用.Net Framework 4时不受影响<\/p>
3. 漏洞原理<\/h3>
Windows支持以8.3格式生成与MS-DOS兼容的短文件名：<\/p>

格式：xxxxxx~xxxx<\/code>（前6位字符直接显示，后续用~1指代）<\/li>
特征：只有前6位字符直接显示，后续用~1指代（数字可递增）<\/li> 后缀名最长3位，多余被截断<\/li> 所有字母转为大写<\/li> 以文件名最后一个"."作为短文件名后缀<\/li> 文件名前缀长度≥9位才会生成短文件名（含空格或特殊字符时例外）<\/li> <\/ol> <\/li> <\/ul> 4. 漏洞危害<\/h3> 主要危害：信息泄露<\/h4> 通过暴力破解短文件名访问敏感文件<\/li> 示例：backup_20180101.sql<\/code> → backup~1.sql<\/code><\/li> <\/ul> 副危害：拒绝服务<\/h4> 通过发送非法.Net文件请求导致递归搜索，消耗资源<\/li> <\/ul> 5. 漏洞利用方法<\/h3> 探测技术<\/h4> 低版本IIS<\/strong>：使用GET方法，根据404\/400状态码判断<\/li> 高版本IIS<\/strong>：使用OPTIONS\/TRACE方法，根据404\/200或501状态码判断<\/li> <\/ul> 利用方式<\/h4> 暴力破解<\/strong>：对短文件名进行暴力破解<\/li> 结合爬虫\/Fuzz<\/strong>：建立字典库猜测完整文件名<\/li> 绕过认证<\/strong>：特定配置下可绕过Basic\/Windows认证 \/AuthNeeded::$Index_Allocation\/*~1*\/.aspx \/AuthNeeded:$I30:$Index_Allocation\/*~1*\/.aspx <\/code><\/pre> <\/li> 结合其他软件<\/strong>：如Apache\/WordPress在Windows下运行时可直接访问短文件<\/li> <\/ol> 6. 漏洞局限性<\/h3> 只能确定前6个字符<\/li> 文件名太短无法猜解<\/li> 文件名前6位带空格时匹配不准确<\/li> 文件夹名前6位带"."时会出现误报<\/li> 不支持中文文件名（超过4个中文字会产生短文件名但无法猜测）<\/li> <\/ol> 三、漏洞复现与验证<\/h2> 环境搭建<\/h3> Windows系统安装IIS（推荐Win10+IIS10）<\/li> 创建长度≥9的文件名（如IIS10test.html<\/code>）<\/li> 使用短文件扫描工具（Java\/Python实现）<\/li> <\/ol> 验证过程<\/h3> 使用dir \/x<\/code>命令查看短文件名<\/li> 使用OPTIONS\/TRACE方法探测<\/li> 分析HTTP响应状态码：存在：404<\/li> 不存在：400（GET）或200\/501（OPTIONS\/TRACE）<\/li> <\/ul> <\/li> <\/ol> 四、防御方案<\/h2> 1. 禁用NTFS 8.3文件格式<\/h3> Windows Server 2008 R2<\/strong>： fsutil 8 dot3name query # 查询状态 fsutil 8dot3name set 1 # 关闭 <\/code><\/pre> <\/li> Windows Server 2003<\/strong>： fsutil behavior set disable8dot3 1 <\/code><\/pre> <\/li> <\/ul> 2. 修改注册表<\/h3> 打开注册表：regedit<\/code><\/li> 导航至：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem<\/code><\/li> 修改NtfsDisable8dot3NameCreation<\/code>值为1<\/code><\/li> 注意<\/strong>：需重启生效，且对已存在的短文件名无效<\/li> <\/ol> 3. 其他缓解措施<\/h3> 关闭Web服务扩展中的ASP.NET<\/li> 升级.NET Framework至4.0以上版本<\/li> 使用WAF过滤包含波浪号(~)的请求<\/li> <\/ul> 五、参考资源<\/h2> Soroush Dalili研究报告<\/a><\/li> Acunetix研究结果<\/a><\/li> <\/ol> 总结<\/h2> IIS短文件漏洞是一个长期存在的中危漏洞，虽然微软未提供官方补丁，但通过禁用8.3文件名格式等系统配置可有效防御。安全团队应特别注意使用OPTIONS\/TRACE方法的高版本IIS系统，并定期检查服务器配置。<\/p>

Windows版本<\/th>	默认IIS版本<\/th> <\/tr> <\/thead>
Windows NT 3.51<\/td>	IIS 1.0<\/td> <\/tr>
Windows NT 4.0 SP2<\/td>	IIS 3.0<\/td> <\/tr>
Windows NT 4.0选项包<\/td>	IIS 4.0<\/td> <\/tr>
Windows 2000<\/td>	IIS 5.0<\/td> <\/tr>
Windows XP Pro\/Media Center<\/td>	IIS 5.1<\/td> <\/tr>
Windows Server 2003\/XP Pro x64<\/td>	IIS 6.0<\/td> <\/tr>
Windows Server 2008\/Vista<\/td>	IIS 7.0<\/td> <\/tr>
Windows 7\/Server 2008 R2<\/td>	IIS 7.5<\/td> <\/tr>
Windows 8\/Server 2012<\/td>	IIS 8.0<\/td> <\/tr>
Windows 8.1\/Server 2012 R2<\/td>	IIS 8.5<\/td> <\/tr>
Windows 10\/Server 2016<\/td>	IIS 10.0<\/td> <\/tr> <\/tbody> <\/table> 二、IIS短文件漏洞详解<\/h2> 1. 漏洞背景<\/h3> 发现时间<\/strong>：2010年8月由Soroush Dalili发现<\/li> 漏洞本质<\/strong>：由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(~)引起<\/li> 漏洞状态<\/strong>：微软认为未达安全更新标准，至今未完全修复<\/li> <\/ul> 2. 影响范围<\/h3> 受影响版本<\/strong>：<\/p> IIS 1.0 - IIS 7.5（使用GET方法，需安装ASP.NET）<\/li> IIS 8.0、IIS 8.5和IIS 10.0（使用OPTIONS和TRACE方法，无需ASP.NET）<\/li> <\/ul> 不受影响情况<\/strong>：使用.Net Framework 4时不受影响<\/p> 3. 漏洞原理<\/h3> Windows支持以8.3格式生成与MS-DOS兼容的短文件名：<\/p> 格式：`xxxxxx~xxxx<\/code>（前6位字符直接显示，后续用~1指代）<\/li>` 特征：只有前6位字符直接显示，后续用~1指代（数字可递增）<\/li> 后缀名最长3位，多余被截断<\/li> 所有字母转为大写<\/li> 以文件名最后一个"."作为短文件名后缀<\/li> 文件名前缀长度≥9位才会生成短文件名（含空格或特殊字符时例外）<\/li> <\/ol> <\/li> <\/ul> 4. 漏洞危害<\/h3> 主要危害：信息泄露<\/h4> 通过暴力破解短文件名访问敏感文件<\/li> 示例：backup_20180101.sql<\/code> → backup~1.sql<\/code><\/li> <\/ul> 副危害：拒绝服务<\/h4> 通过发送非法.Net文件请求导致递归搜索，消耗资源<\/li> <\/ul> 5. 漏洞利用方法<\/h3> 探测技术<\/h4> 低版本IIS<\/strong>：使用GET方法，根据404\/400状态码判断<\/li> 高版本IIS<\/strong>：使用OPTIONS\/TRACE方法，根据404\/200或501状态码判断<\/li> <\/ul> 利用方式<\/h4> 暴力破解<\/strong>：对短文件名进行暴力破解<\/li> 结合爬虫\/Fuzz<\/strong>：建立字典库猜测完整文件名<\/li> 绕过认证<\/strong>：特定配置下可绕过Basic\/Windows认证 \/AuthNeeded::$Index_Allocation\/~1\/.aspx \/AuthNeeded:$I30:$Index_Allocation\/~1\/.aspx <\/code><\/pre> <\/li> 结合其他软件<\/strong>：如Apache\/WordPress在Windows下运行时可直接访问短文件<\/li> <\/ol> 6. 漏洞局限性<\/h3> 只能确定前6个字符<\/li> 文件名太短无法猜解<\/li> 文件名前6位带空格时匹配不准确<\/li> 文件夹名前6位带"."时会出现误报<\/li> 不支持中文文件名（超过4个中文字会产生短文件名但无法猜测）<\/li> <\/ol> 三、漏洞复现与验证<\/h2> 环境搭建<\/h3> Windows系统安装IIS（推荐Win10+IIS10）<\/li> 创建长度≥9的文件名（如IIS10test.html<\/code>）<\/li> 使用短文件扫描工具（Java\/Python实现）<\/li> <\/ol> 验证过程<\/h3> 使用dir \/x<\/code>命令查看短文件名<\/li> 使用OPTIONS\/TRACE方法探测<\/li> 分析HTTP响应状态码：存在：404<\/li> 不存在：400（GET）或200\/501（OPTIONS\/TRACE）<\/li> <\/ul> <\/li> <\/ol> 四、防御方案<\/h2> 1. 禁用NTFS 8.3文件格式<\/h3> Windows Server 2008 R2<\/strong>： fsutil 8 dot3name query # 查询状态 fsutil 8dot3name set 1 # 关闭 <\/code><\/pre> <\/li> Windows Server 2003<\/strong>： fsutil behavior set disable8dot3 1 <\/code><\/pre> <\/li> <\/ul> 2. 修改注册表<\/h3> 打开注册表：regedit<\/code><\/li> 导航至：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem<\/code><\/li> 修改NtfsDisable8dot3NameCreation<\/code>值为1<\/code><\/li> 注意<\/strong>：需重启生效，且对已存在的短文件名无效<\/li> <\/ol> 3. 其他缓解措施<\/h3> 关闭Web服务扩展中的ASP.NET<\/li> 升级.NET Framework至4.0以上版本<\/li> 使用WAF过滤包含波浪号(~)的请求<\/li> <\/ul> 五、参考资源<\/h2> Soroush Dalili研究报告<\/a><\/li> Acunetix研究结果<\/a><\/li> <\/ol> 总结<\/h2> IIS短文件漏洞是一个长期存在的中危漏洞，虽然微软未提供官方补丁，但通过禁用8.3文件名格式等系统配置可有效防御。安全团队应特别注意使用OPTIONS\/TRACE方法的高版本IIS系统，并定期检查服务器配置。<\/p>

IIS短文件漏洞深入解析与防御指南<\/h1>

一、IIS基础概述<\/h2> Internet Information Services (IIS)<\/strong> 是微软提供的可扩展Web服务器，支持HTTP、HTTPS、FTP等多种协议。IIS随Windows NT系列操作系统一起发布，目前全球市场份额约为10.19%，是全球第三大Web服务器。<\/p>

二、IIS短文件漏洞详解<\/h2>

4. 漏洞危害<\/h3>

5. 漏洞利用方法<\/h3>

三、漏洞复现与验证<\/h2>

四、防御方案<\/h2>

总结<\/h2> IIS短文件漏洞是一个长期存在的中危漏洞，虽然微软未提供官方补丁，但通过禁用8.3文件名格式等系统配置可有效防御。安全团队应特别注意使用OPTIONS\/TRACE方法的高版本IIS系统，并定期检查服务器配置。<\/p>

一、IIS基础概述<\/h2>
Internet Information Services (IIS)<\/strong> 是微软提供的可扩展Web服务器，支持HTTP、HTTPS、FTP等多种协议。IIS随Windows NT系列操作系统一起发布，目前全球市场份额约为10.19%，是全球第三大Web服务器。<\/p>

总结<\/h2>
IIS短文件漏洞是一个长期存在的中危漏洞，虽然微软未提供官方补丁，但通过禁用8.3文件名格式等系统配置可有效防御。安全团队应特别注意使用OPTIONS\/TRACE方法的高版本IIS系统，并定期检查服务器配置。<\/p>