中间件笔记

每个web 中间件都有有点bug
1.iis6x篇
1.1 PUT漏洞
1.漏洞描述
IIS Server 在 Web 服务扩展中开启了 WebDAV ，配置了可以写入的权限，造成任意文件上传。
版本：IIS 6.0


本地修改hosts,连上靶机

抓包直接改get ->option
一般先上传一个文本/.txt

在靶机上就能看到该文件

把文件后缀名改成asp

1名字要有destination且后门一定要有域名才能成功 2.要有空格

成功 |


/moon.asp也能创建成功 且下面有两个空格

防御
把它禁止掉。图片存放目录禁止脚本执行,升级iis

iis6.o解析漏洞
1.基于文件名
.asp;.jpg 省略后面，还会将cer cdx asa 拓展名解析成asp
漏洞复现
上传一个后门文件
2.基于文件夹
目录是.asp里的文件也会当初asp执行（解析成后门）是iis6.0独有的特性
防御：
禁止上传此类文件夹生成;升级iis版本
把文件夹的权限设置成无

iis短文件漏洞
window8.3
dir /x
2.原理
当后缀小于4时，短文件名产生需要文件(夹)名前缀字符长度大于等于9位。
当后缀大于等于4时，文件名前缀字符长度即使为1，也会产生短文件名。
目前IIS支持短文件名猜测的HTTP方法主要包括：DEBUG、OPTIONS、GET、POST、HEAD、TRACE六
种
IIS 8.0之后的版本只能通过OPTIONS和TRACE方法被猜测成功

复现
3.复现
提醒一下 IIS8.0以下版本需要开启ASP.NET支持，IIS>=8.0版本,即使没有安装ASP.NET，通过
OPTIONS和TRACE方法也可以猜解成功。以下通过开启IIS6.0 ASP.NET后进行复现

该靶机用cmd dir /x:有短文件名
长文件多个点的用最后一个点

后缀名最长只能有三位
短文件名特征：
1.只显示前6位的字符,后续字符用~1代替。其中数字1是可以递增。如果存在文件名类似的文件,则前面的
6个字符是相同的,后面的数字进行递增
2.后缀名最长只有3位,超过3位的会生成短文件名,且后缀多余的部分会截断。
3.所有小写字母均转换成大写的字母
4.长文件名中包含多个”.”的时候,以文件最后一个”.”作为短文件名的后缀
5.长文件名前缀/文件夹名字符长度符合0-9和A-Z、a-z范围且需要大于等于9位才会生成短文件名,如果包
含空格或者其他部分特殊字符,不论长度均会生成短文件。
使用payload验证目标是否存在IIS短文件名漏洞,下图显示的404,说明目标存在该短文件名
注：* 可以匹配n个字符, n可以为0

返回404 文件存在
可以用来查看文件类型是否存在

防御，可以升级。net 或者修改注册吧