IIS是有微軟使用微軟windows功能擴展模塊創(chuàng)建的一套web服務器應用程序，是世界上第三個最流行的服務器。
漏洞描述:
漏洞研究小組發(fā)現(xiàn)了一個微軟IIS的漏洞,攻擊者可以利用一個包含"~"的get請求,來讓服務器上的文件和文件夾被泄漏、
影響版本:
IIS 1.0, Windows NT 3.51
IIS 2.0, Windows NT 4.0
IIS 3.0, Windows NT 4.0 Service Pack 2
IIS 4.0, Windows NT 4.0 Option Pack
IIS 5.0, Windows 2000
IIS 5.1, Windows XP Professional and Windows XP Media Center Edition
IIS 6.0, Windows Server 2003 and Windows XP Professional x64 Edition
IIS 7.0, Windows Server 2008 and Windows Vista
IIS 7.5, Windows 7 (遠程開啟了錯誤或者沒有web.config配置文件的情況下)
IIS 7.5, Windows 2008 (經典托管管道模式)
漏洞分析與利用:
如果網站是運行在IIS服務器上，可以通過"~"來發(fā)現(xiàn)一些文件和文件夾,攻擊者可以發(fā)現(xiàn)重要的文件或者文件夾，如果這些文件或者文件夾是正規(guī)的可見文件.
關于此漏洞的深入分析可以參考以下連接中的文章：
http://soroush.secproject.com/blog/2012/06/microsoft-iis-tilde-character-vulnerabilityfeature-short-filefolder-name-disclosure/
漏洞詳細說明:
一直在尋找一種方法，如果我可以使用通配符"*" 和"?"發(fā)送一個請求到iis,我意識到當IIS接收到一個文件路徑中包含"~"的請求時，它的反應是不同的.基于這個特點，我們可以根據(jù)http的響應區(qū)分一個可用或者不可用的文件.在以下的表中,文件validxxx.xxx是存在于網站服務器根目錄的.(備注:xxx.xxx是指不確定,還需要繼續(xù)猜解判斷).下圖主要是不同版本的IIS返回根據(jù)請求的返回錯誤來判斷是否存在某個文件.
舉例說明如果一個IIS6網站http://www.xxx.com的短文件猜解方法
請求http:// /a*~1*/.aspx 返回404，就說明存在a開頭的一個axxx.xxx的文件.(其中xxx.xxx還需要進一步確定判斷是什么字母,什么后綴).
請求http://www.xxx.com/a*~1*/.aspx 返回400,說明不存在a開頭的一個axxx.xxx的文件.(其中xxx.xxx還需要進一步確定判斷是什么字母,什么后綴).
IIS5.X的判斷方法如下:
請求/a*~1* 返回404 說明存在a開頭的一個文件。
請求/a*~1* 返回400 說明不存在a開頭的一個文件.
IIS7.x.net 2 no error handing判斷方法如上圖，各位仔細看.
下面附上一個IIS6猜解文件的全過程。
測試地址：http://sdl.me/AcSecret.html acsecret.html是存在于服務器上的.猜解過程如下圖:
附上詳細的poc和漏洞利用說明文件:
PoC: http://www.exploit-db.com/sploits/19525.zip
Paper: http://www.exploit-db.com/download_pdf/19527
漏洞修復方案：
使用微軟或者安全廠商提供的解決方案
使用配置好的Web應用防護系統(tǒng)(拒絕丟棄掉包含"~"線的Web請求)可能會起到對此漏洞進行防范的作用.
漏洞發(fā)現(xiàn)者:
Soroush Dalili (@irsdl)
Ali Abbasnejad
漏洞參考：
http://support.microsoft.com/kb/142982/en-us
http://soroush.secproject.com/blog/2010/07/iis5-1-directory-authentication-bypass-by-using-i30index_allocation/
站長評論：
其實這是個很雞肋的“漏洞”……
首先，如果文件名符合8.3規(guī)范的文件（文件名主體部分小于等于8個字節(jié)、擴展名部分小于等于3個字節(jié)），則根本沒有短文件名。
其次，漢字和特殊符號等字符的猜解，也是很蛋疼的問題……
最后，即使猜出來了，也只有前六位，只能靠運氣碰碰看了……
不過，它還是有不小的用處，也算是很另類的一個“漏洞”吧……
（提示：如果目標站自定義了400、404 錯誤頁面，那么該掃描器是無法判斷的……）
可以參考下表：
2012/07/04 20:46