提起微軟公司IIS web服務(wù)器的安全問題,很多人立刻就會聯(lián)想到那些為人們所稱頌的致命漏洞: UNICODE , CGI 解析, .ida,idq, .Printer遠程溢出等. 這些偉大的漏洞恐怕是我等scriptskidding的最愛了,利用他們可以很輕松的拿到較高的系統(tǒng)權(quán)限。但是這篇文章并非是討論這些致命的漏洞的，只是比較詳細的介紹了如何遠程判斷IIS 服務(wù)器的各種設(shè)置，如目錄權(quán)限，認證方法等等，文中有些東西已經(jīng)很老了，但是新的東西還是值得一看的。 希望本文能夠起到一個拋磚引玉的作用。好了，廢話少說，Go~!


win2003 IIS安全設(shè)置遠程確定目錄權(quán)限


讓我們打開一個IIS服務(wù)器來看看。在IIS 服務(wù)管理器中，選擇一個目錄，看他的屬性

在目錄屬性項有有這么一些選項（日志訪問和索引此資源不計）：

腳本資源訪問：　對網(wǎng)站的腳本可以讀取原文件。

讀取　　　　　  讀取目錄里面的靜態(tài)資源。

寫入　　　　　  用戶可以建立以及刪除資源

目錄瀏覽　　　  用戶可以瀏覽目錄內(nèi)容。


win2003 IIS安全設(shè)置應(yīng)用程序設(shè)置的執(zhí)行許可中有三個選項：

  無　　　　　　  　只能訪問靜態(tài)頁面

純腳本　　　　　　 只允許允許腳本　如ASP腳本

腳本和可執(zhí)行程序　 可以訪問和執(zhí)行各種文件類型

那么，如何確定服務(wù)器上面的這些開關(guān)設(shè)置呢？ 別著急，一個一個來。


執(zhí)行權(quán)限


如何確定某個目錄是否開了執(zhí)行權(quán)限呢？很簡單，向服務(wù)器發(fā)送一個下面得請求： 

http://iis-server/dir/no-such-file.dll

/dir/為要判斷得目錄，no-such-file.dll是隨便取得一個名字，服務(wù)器上面沒有這個文件。

服務(wù)器對我們得請求會返回一個信息。如果返回的是一個500錯誤：

HTTP 500 - 內(nèi)部服務(wù)器錯誤 (Internal Server error)

那么就說明這個目錄的執(zhí)行權(quán)限是開著的。 對于服務(wù)器，能不開執(zhí)行權(quán)限的就不要開。特別是虛擬目錄的執(zhí)行權(quán)限，大家想一想UNICODE和二次解碼漏洞的利用過程就明白了。

如果服務(wù)器返回的是一個 404 錯誤：

HTTP 404 - 未找到文件

那么就說明這個目錄的執(zhí)行權(quán)限沒有開。


寫權(quán)限


win2003 IIS安全設(shè)置測試一個目錄對于web用戶是否具有寫權(quán)限，采用如下方法：

telnet 到服務(wù)器的web端口(80)并發(fā)送一個如下請求：

PUT /dir/my_file.txt HTTP/1.1

Host: iis-server

Content-Length: 10 <enter><enter>

這時服務(wù)器會返回一個100( 繼續(xù))的信息：

HTTP/1.1 100 Continue

Server: Microsoft-IIS/5.0

Date: Thu, 28 Feb 2002 15:56:00 GMT

接著，我們輸入10個字母：

AAAAAAAAAA

送出這個請求后，看服務(wù)器的返回信息，如果是一個 201 Created響應(yīng)：

HTTP/1.1 201 Created

Server: Microsoft-IIS/5.0

Date: Thu, 28 Feb 2002 15:56:08 GMT

Location: http://iis-server/dir/my_file.txt

Content-Length: 0

Allow: OPTIONS, TRACE, GET, HEAD, Delete, PUT, COPY, MOVE, PROPFIND,

PROPPATCH, SEARCH, LOCK, UNLOCK

那么就說明這個目錄的寫權(quán)限是開著的，反之，如果返回的是一個 403 錯誤，那么寫權(quán)限就是

沒有開起來，如果需要你認證，并且返回一個 401(權(quán)限禁止) 的響應(yīng)的話，說明是開了寫權(quán)限，但是匿名用戶不允許。 如果一個目錄同時開了”寫”和“腳本和可執(zhí)行程序”的話，那么web用戶就可以上傳一個程序并且執(zhí)行它，恐怖哦%^#$!~


純腳本執(zhí)行權(quán)限


這樣的目錄就太多了。很多不需要給執(zhí)行權(quán)限的目錄也被管理員給了腳本執(zhí)行權(quán)限，我記得在

shotgun的一篇文章里面他說過：最小的權(quán)限＋最少的服務(wù)＝ 最大的安全 ； 一點也沒有錯。給目錄任何多余的權(quán)限都是沒有必要的。判斷一個目錄是否可以執(zhí)行純腳本文件也很簡單，發(fā)送一個如下一個請求：

http://iis-server/dir/no-such-file.asp

返回404文件不存在說明有執(zhí)行權(quán)限，返回403則是沒有開。


win2003 IIS安全設(shè)置瀏覽目錄權(quán)限


判斷一個目錄是否允許瀏覽可能需要一點點小技巧，但是，在網(wǎng)站的默認首頁(如:default.asp)不存在的話，那么就再簡單不過了。 在瀏覽器里面輸入：

http://iis-server/dir/

如果權(quán)限開著的，那么會返回200響應(yīng)，并且列出當(dāng)前目錄里面的內(nèi)容，反之，沒有列出目錄的話就是關(guān)了。 但是，如果默認頁面default.asp存在呢？敲入上面的地址就直接打開這個頁面了。別急，

WebDAV 里面有一個請求方法叫：PROFIND。這個方法使得我們可以從服務(wù)器資源里面得到一些如文件名，創(chuàng)建時間，最后修改時間等等的信息。利用它我們也可以繞過 default.asp 來判斷目錄瀏覽權(quán)限的情況， telnet到IIS-server的web端口，發(fā)送如下請求：

PROPFIND /dir/ HTTP/1.1

Host: iis-server

Content-Length: 0

這時，服務(wù)器會送回一個207 Multi Status的響應(yīng)，如果目錄是允許瀏覽的，那么同時會列出目錄里面的資源以及他們的屬性。如果目錄瀏覽不允許，返回的信息就會少的多。目錄瀏覽一般來說只能算是一個低危險等級的漏洞，比如一個images目錄，里面除了圖片沒有別的東西了，那對于服務(wù)器的安全就沒有什么危害，但是，如果目錄里面放了一個管理頁面adminpage.asp或者一些數(shù)據(jù)庫連接信息文件，可能會導(dǎo)致你的服務(wù)器拱手相讓給入侵者。


讀權(quán)限


判斷這點很容易，發(fā)一個帶 txt文件的請求就可以：

http://iis-server/dir/no-such-file.txt

如果返回一個 404 文件不存在的響應(yīng)，就說明讀權(quán)限是開著的,反正，返回403錯誤則說明都權(quán)限沒有開。早幾年接觸安全的人一定知道 ::$DATA泄露ASP源代碼的漏洞，其實如果一個目錄里面權(quán)勢asp腳本的話，那么讀權(quán)限也可以不用開的，ASP只需要腳本執(zhí)行權(quán)限就可以了。


IIS 認證方法的判斷


這個漏洞是最近才公布出來的，IIS服務(wù)器支持匿名訪問，基本認證和使用NTLM方式的windows集成認證，如果客戶端發(fā)送一個包含認證信息的請求，IIS就會強行的嘗試用這些認證信息取認證，并且放回不會的響應(yīng)。這樣我們就能夠確定IIS的認證的配置。

要確定IIS是否支持基本認證，可以telnet到服務(wù)器的80端口，發(fā)送如下請求：

GET / HTTP/1.1

Host: iis-server

Authorization: Basic c3lzdGVtOm1hbmFnZXIA

這是一個基本認證的請求，里面包含了一個base 64編碼的用戶ID和PASS，Basic后面那串字符經(jīng)過base 64解碼以后就是 system:manager 。如果服務(wù)器返回一個401信息，則說明基本認證選項是開著的。如果返回200信息，則有2種可能，基本認證選項沒有開或者是服務(wù)器存在一個用戶名是

system的用戶名，并且密碼是manager (猜中的話，行大運啦)。

最新評論