IIS是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，差别用于网页阅读、文件传输、报导服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。

IIS的安全懦弱性曾长时间被业内诟病，一旦IIS显露远程执行破绽恐吓将会非常严重。远程执行代码破绽存在于 HTTP 协议堆栈 (HTTPsys) 中，当 HTTPsys 未正确解析经不同凡响设计的 HTTP 请愿时会导致此破绽。 胜利应用此破绽的攻击者可以在系统帐户的高下文中执行任意代码，可以导致IIS服务器所在机器蓝屏或读取其内存中的机要数据。

一、PUT破绽

1 破绽介绍及成因

IIS Server在Web服务开拓中开启了WebDAV，配置了可以写入的权限，造成任意文件上传。

版本：IIS 60

2 破绽复现

1）开启WebDAV和写权限；

2） 应用burp测试抓包，将GET请愿改为OPTIONS；

3）应用工具进行测试；

胜利上传，再上传一句话木马，然后用菜刀连接，getshell；

3 破绽修复

关闭WebDAV和写权限；

二、短文件名猜解

1 破绽介绍及成因

IIS的短文件名机制，可以暴力猜解短文件名，拜访组成的某个存在的短文件名，会返回404，拜访组成的某个不存在的短文件名，返回400。

2 破绽复现

1）在网站根目录下添加aaaaaaaaaa文件；

2）进行猜解；

3 破绽修复

修复想法：

1）升级net frameork；

2）改动注册表禁用短文件名性能；

快捷键Win+R打开号召窗口，输入regedit打开注册表窗口，找到路径：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem，将其中的 NtfsDisable8dot3NameCreation这一项的值设为 1，1典型不创造短文件名形式，改动完成后，需要重启系统生效。

3）CMD关闭NTFS 83文件形式的支持；

4）将eb文件夹的内容拷贝到另一个位置，如c\到d\,然后删除原文件夹，再重命名d\到c\。

修复后：

4 局限性

1) 此破绽只能确认前6个字符，假如后面的字符太长、涵盖不同凡响字符，很难猜解；

2) 假如文件名本身太短（无短文件名）也是无法猜解的；

3) 假如文件名前6位带空格，83形式的短文件名会补进，和真实文件名不匹配；

四、远程代码执行

1 破绽介绍及成因

在IIS60处置PROPFIND指令的时候，因为对url的长度没有进行有效的长度管理和查验，导致执行memcpy对虚拟路径进行组成的时候，引发栈溢出，从而导致远程代码执行。

2 破绽复现

1）破绽环境搭建

在indos server 2003 r2 32位上安装iis60；

2）触发破绽

在本地执行exp，exp如下：

执行胜利后，服务器端弹出计算器：

3 破绽修复

1）关闭WebDAV服务；

2）采用相关防护器材；

四、分析破绽

1 破绽介绍及成因

IIS 60在处置含有不同凡响符号的文件路径时会显露逻辑过错，从而造成文件分析破绽。这一破绽有两种彻底差异的应用方式：

testasptestjpg

testasp;jpg

2 破绽复现

• 应用方式1

• 第一种是新建一个名为”testasp”的目录，该目录中的任何文件都被IIS当作asp程序执行（不同凡响符号是“”）；

  • 应用方式2

  • 第二种是上传名为”testasp;jpg”的文件，固然该文件真正的后缀名是”jpg”,但因为含有不同凡响符号”;”，仍会被IIS当做asp程序执行；

    IIS75文件分析破绽

    testjpgphp

    URL中文件后缀是php，便无论该文件是否存在，都直接交给php处置，而php又默认开启”cgifix_pathinfo”性能，默认会对文件进行“修理”，何谓“修理”呢？举个范例，当php遇到路径为”aaaxxxbbbyyy”的时侯，若”aaaxxxbbbyyy”不存在，则会去掉最后的“bbbyyy”，然后判断”aaaxxx”是否存在，若存在，则把“aaaxxx”当作文件。

    若有文件testjpg，拜访时在其后加php，便可以把”testjpgphp”交给php，php修理文件路径”testjpgphp”得到”testjpg”，该文件存在，便把该文件作为php程序执行了。

    3 破绽修复

    1）对新建目录文件名进行过滤，不许可新建涵盖‘’的文件；

    2）曲线网站后台新建目录的性能，不许可新建目录；

    3）限制上传的脚本执行权限，不许可执行脚本；

    4）过滤aspxmjpg，通过ISApi组件过滤。

    一、iis6文件分析破绽原理：

    1、当WEB目录下，文件名以 xxxasp;xxxxxx 来进行命名的时候，此文件将送交aspdll分析(也就是执行脚本)

    2、当WEB目录下，在拜访以 xxxasp 命名的目录下的任意文件时，此文件将送交aspdll分析(也就是执行脚本)

    我们都知道IIS6中间件主要分析的就是asp语言的文件，假如你放入一个java语言的文件，php语言的文件他是不会进行分析的，只能当做文本文件进行显示出来，而里面语法所表达的意思是不会执行的。那么从iis基础审计原理和测试发明IIS6在分析文件时存在如下疑问：

    1、后缀如下会被当做asp程序进行执行 asp cer asa cdx

    2、IIS 60在处置含有不同凡响符号的文件路径时会显露逻辑过错，从而造成文件分析破绽。这一破绽有两种彻底差异的应用方式： testasptestjpg testasp;jpg

    为什么说这样的分析我们叫做破绽呢？而不叫做多一种分析方式呢？

    主要的原因是许多研发在编写上传性能的时候会进行黑名单活着白名单的判断，而往往不了解这种分析破绽，疏忽了这种校验，从而被其他人绕过上传能分析的大小马。

    比如：有一个头像上传性能，开发者后台只许可上传后缀为jpg的文件，其他文件不许可上传，而黑客应用第二条分析破绽上传了个1asp;jpg这时候能顺利的将该文件上传到服务器中，假如服务器只是将其依照图片分析，那么里面插入的asp马脚本就分析不胜利无法施展马的作用，但是iis6会将其安装asp文件分析，因此这个马就能起到马的作用，从而被黑客应用。

    而iis6因为是设计上的不足，因此该破绽没有厂家的修复方案，只要研发在本身上传性能上对上述破绽进行过滤。

    二、IIS7IIS75中的分析破绽

    破绽阴碍 IIS7 及IIS75 在使FastCGI方式调用php时，在phpini里设置cgifix_pathinfo=1

    使得拜访任意文件URL时，在URL后面添加“xphp”等字符时，该文件被iis当php文件代码分析。

    如制作1gif图片马（在图片中插入php马脚本）正常场合下拜访 1270011gif 的内容为正常的图片，里面的php脚本并不会执行，由于IIS7IIS75只会依照图片的分析形式来进行分析。当拜访 1270011gif1php可以看到1gif里的php代码被iis分析执行了。 那么“黑客”在具体应用网站破绽的时候，先可以通过网站提供的图片上传性能（也可以是其他的策略）上传一个涵盖了恶意PHP代码的图片文件。然后通过上面描叙想法，让iis分析执行任意恶意的php代码，管理网站及主机，终极导致网站被“脱库”、“挂马”、“植入非法seo链接”等等严重后果。

    IIS7IIS75分析破绽的修复方案有如下几个：

    第1种方案：继续采用FastCGI方式调用PHP，要解决这个安全疑问可以在phpini里设置 cgifix_pathinfo=0 ，改动保留后建议重启iis(留心可能阴碍到某些利用程序性能)。

    第2种方案：采用ISAPI的方式调用PHP。（留心：PHP5310已经摒弃了 ISAPI 方式）

    第3种方案：可以采用其他eb服务器软件，如apache等。