本文翻譯自exploit-db.com,是苦逼阿德馬童鞋經過數小時折騰而成,轉載請著名出處,tks.E文太菜,如果有錯誤之處請各位大大多多指正.

IIS是有微軟使用微軟windows功能擴展模塊創建的一套web服務器應用程序，是世界上第三個最流行的服務器。

漏洞描述:

漏洞研究小組發現了一個微軟IIS的漏洞,攻擊者可以利用一個包含”~”的get請求,來讓服務器上的文件和文件夾被泄漏、

影響版本:

IIS 1.0, Windows NT 3.51

IIS 2.0, Windows NT 4.0

IIS 3.0, Windows NT 4.0 Service Pack 2

IIS 4.0, Windows NT 4.0 Option Pack

IIS 5.0, Windows 2000

IIS 5.1, Windows XP Professional and Windows XP Media Center Edition

IIS 6.0, Windows Server 2003 and Windows XP Professional x64 Edition

IIS 7.0, Windows Server 2008 and Windows Vista

IIS 7.5, Windows 7 (遠程開啟了錯誤或者沒有web.config配置文件的情況下)

IIS 7.5, Windows 2008 (經典托管管道模式)

漏洞分析與利用:

如果網站是運行在IIS服務器上，可以通過”~”來發現一些文件和文件夾,攻擊者可以發現重要的文件或者文件夾，如果這些文件或者文件夾是正規的可見文件.

關于此漏洞的深入分析可以參考以下連接中的文章：

一直在尋找一種方法，如果我可以使用通配符”*” 和 “?”發送一個請求到iis,我意識到當IIS接收到一個文件路徑中包含”~”的請求時，它的反應是不同的.基于這個特點，我們可以根據http的響應區分一個可用或者不可用的文件.在以下的表中,文件validxxx.xxx是存在于網站服務器根目錄的.(備注:xxx.xxx是指不確定,還需要繼續猜解判斷).下圖主要是不同版本的IIS返回根據請求的返回錯誤來判斷是否存在某個文件.

舉例說明如果一個IIS6網站http://www.xxx.com的短文件猜解方法

請求 http://www.xxx.com/a*~1*/.aspx? 返回404，就說明存在a開頭的一個axxx.xxx的文件.(其中xxx.xxx還需要進一步確定判斷是什么字母,什么后綴).

請求http://www.xxx.com/a*~1*/.aspx 返回400,說明不存在a開頭的一個axxx.xxx的文件.(其中xxx.xxx還需要進一步確定判斷是什么字母,什么后綴).

IIS5.X的判斷方法如下:

請求 /a*~1*?返回404 說明存在a開頭的一個文件。

請求/a*~1*? 返回400 說明不存在a開頭的一個文件.

IIS7.x.net 2 no error handing判斷方法如上圖，各位仔細看.

下面附上一個IIS6猜解文件的全過程。

測試地址：http://sdl.me/AcSecret.html?? acsecret.html是存在于服務器上的.猜解過程如下圖:

漏洞修復方案：

使用微軟或者安全廠商提供的解決方案

使用配置好的Web應用防護系統(拒絕丟棄掉包含”~”線的Web請求)可能會起到對此漏洞進行防范的作用.

漏洞發現者:

Soroush Dalili (@irsdl)

Ali Abbasnejad

漏洞參考：

漏洞披露相關細節:

2010-08-01 – 發現漏洞

2010-08-03 – 賣方知情

2010-12-01 – 銷售商第一反應

2011-01-04 – 第二賣方響應(下一版本修復)

2012年6月29日 – 公開披露

文章未完待續,11點了,還在單位呢,沒地鐵了,只能打的回家了.

最后編輯：2012-07-04作者：admin

這個作者貌似有點懶，什么都沒有留下。

總結

以上是生活随笔為你收集整理的iis服务器版本信息泄漏,IIS短文件和文件夹泄漏漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。