microsoftiis畸形文件扩展名绕过安全限制漏洞解决方案.docx

1、microsoftiis畸形文件扩展名绕过安全限制漏洞解决方案microsoft,iis畸形文件扩展名绕过安全限制漏洞,解决方案篇一：IIS_文件解析漏洞及解决办法 近风声似起IIS又暴新的文件解析漏洞，又起网络带一大风波。本文主要根据漏洞的产生分析下原理和解决办法！. 早前有暴出一个下文件名解析漏洞，遇到会自动解析成asp文件执行。此漏洞产生在，处理文件夹扩展名出错导致以.asp命名的文件夹后面的文件直接以asp代码执行。所以无论*.asp文件夹后面是什么格式的文件都被当作ASP程序执行。同理可得只要是可执行程序都可以利用此解析。如：在IIS没有删除扩展名的情况下，/ /都可以当作asp代码

2、被执行。 如图所示： 此漏洞主要利用于网站后台上传文件夹可以创建目录。存在的程序主要有动易系统，Fckeditor编辑器。 IIS 不存在此漏洞，可能这是IIS 在设计上的缺陷! 最近又暴出一个新的文件名漏洞，导致上传;jpg或者;.jpg文件就可以得到网站的webshell.中间的分号的作用是文件名截断从而得到一个可执行文件。这又给网络安全带来一个不小的风波！ 同样得到一个结论，；号截断和.asp截断原理是一样的。可以写是;jpg或者;.txt等！ 对于这个漏洞还可以利用在很多文件上传漏洞上，通过抓包，改包，NC提交得到webshell.在此就不作分析了。 对此类安全问题可以采取几种方法来解

3、决。 一、程序方面 1、对新建目录文件名进行过滤，不允许新建包含.的文件夹。 2、取消网站后台新建目录的功能,不允许新建目录。 二、服务器方面 1、限制上传目录的脚本执行权限，不允许执行脚本。 2、过滤.asp/,通过ISApi组件过滤。 在加入了以下规则 ASP RewriteRule (.*).asp/(.*) / RewriteRule (.*).Asp/(.*) / RewriteRule (.*).aSp/(.*) / RewriteRule (.*).asP/(.*) / RewriteRule (.*).ASp/(.*) / RewriteRule (.*).AsP/(.*) /

4、 RewriteRule (.*).aSP/(.*) / RewriteRule (.*).ASP/(.*) / ASA RewriteRule (.*).asa/(.*) / RewriteRule (.*).Asa/(.*) / RewriteRule (.*).aSa/(.*) / RewriteRule (.*).asA/(.*) / RewriteRule (来自: 小龙 文档 网:microsoft,iis畸形文件扩展名绕过安全限制漏洞,解决方案)(.*).ASa/(.*) / RewriteRule (.*).AsA/(.*) / RewriteRule (.*).aSA/(.*

5、) / RewriteRule (.*).ASA/(.*) / 如果IIS还保留其它扩展请继续添加 还有朋友说用macfee可以制定策略来控制.asp这样的目录，阻止读取和执行.ASP目录里的文件。 对于;.jpg同样也可以采取文件名过滤和限制目录执行脚本来保护网站安全！本文是总结漏洞的原理和利用，如有不对之处还请大大们指出！ 篇二：IIS7 远程代码执行漏洞深入分析 IIS 7 漏洞深入分析 Content 漏洞影响范围 漏洞危害性分析 漏洞触发 漏洞原理 限制条件 代码执行 与漏洞攻击赛跑IIS漏洞情况 结束语 关于绿盟科技 执行摘要 3 此次微软公告MS15-034 IIS7 漏洞，引来

6、业界的关注，其震荡性不亚于Windows领域的心脏出血事件。绿盟科技威胁响应中心启动紧急响应机制，在4月15日、44 月16日分别发布紧急通告及产品规则升级通告，受如下系统影响的用户还请尽快升级厂商的补丁及绿盟科技产品规4 则包。 4 Microsoft Windows Server XX R2 7 Microsoft Windows Server XX 7 Microsoft Windows Server XX SP1 7 Microsoft Windows Microsoft Windows 8 Microsoft Windows 7 SP1 8 如果您需要了解更多信息，请联系： 9 绿盟

7、科技威胁响应中心微博 /u/69 绿盟科技微博 9 p漏洞影响范围 随着各方的深入分析，各地域受Windows 漏洞影响的情况正在逐渐浮出水面。昨天的通告信息中提到是Microsoft Windows处理HTTP请求的内核驱动程序，据绿盟科技互联网广谱平台数据显示，全球部署IIS的系统数量大概有444万余，从目前受影响的IIS各版本分布统计数据来看，其中IIS 部署量最大，占比%，也是本次追踪分析的重点。 在如下全球分布态势图中，可以看到美洲、欧洲、亚洲等国家受影响比较严重，其中美国、中国、英国及德国为受影响的稠密区域。 漏洞危害性分析 很多大型企业或组织在应对漏洞的时候，往往需要采取谨慎的态

8、度，对于应对措施需要，并且结合自身的业务情况及网络环境，定制行动计划，以避免对业务系统造成损害，这就需要深入了解此次漏洞的原理，才能给出合适的方案。未知攻焉知防！下面对此漏洞的原理进行分析，以便大家更好的理解和防御这一高危安全漏洞。 漏洞触发 根据Pastebin上披露的PoC，很容易构造出能触发BSOD的PoC，比如以下请求： 可以使安装有IIS 的Windows 7 SP1系统BSOD。 漏洞原理 这里以Windows 7 SP1 X64系统上安装的IIS 为例进行分析，其内核的版本为，的版本为。 对BSOD崩溃的现场进行分析，发现是各种情况的内存错误，由此推测触发漏洞后可能造成了内存破坏

9、。对的处理流程进行分析、逐步排查，可以确定内存破坏发生在函数HTTP!UlBuildFastRangeCacheMdlChain中，调用栈如下： 函数HTTP!UlBuildFastRangeCacheMdlChain用于生成响应报文的缓存MDL链，来描述HTTP响应的状态行、头部与消息体，链上的各MDL通过调用nt! IoBuildPartialMdl来生成。 MSDN中对nt! IoBuildPartialMdl的说明如下： 篇三：IIS WebDAV漏洞安全配置解决方法 IIS WebDAV安全配置 WebDAV是一种基于 HTTP 协议的通信协议.它扩展了HTTP ，在GET、POST

10、、HEAD等几个HTTP标准方法以外添加了一些新的方法。 使应用程序可直接对Web Server直接读写，并支持写文件锁定(Locking)及解锁(Unlock)，还可以支持文件的版本控制。 IIS实现Webdav是采用的其两种接口CGI、ISAPI的ISAPI接口。 但因为其没有采用影射的方式，所以IIS的主程序本身包含了Webdav的信息。 其识别出是Webdav的请求后就调用Webdav的处理模块。 对于常见几种请求方法GET、HEAD、POST等，因为常见一些映射都支持。 所以不能以请求方法作为Webdav请求的判断，就根据请求头的字段识别。 如果请求头里面包含Translate:、I

11、f:、Lock-Token:中的一种，就认为是Webdav的请求。 Translate:就是那个Translate:f的泄露源代码的一个请求头，其实设置别的两个也是一样的。 可能很多IDS是没有这点知识的。还内置了几个别的请求方法TRACK、TRACE等。 TRACK就是用于调试错误的，如果收到这样的请求头，会原样返回请求数据。 相当于我们常见的。 IIS对TRACK请求没有进行LOG记录，这点我们可以用于来获得banner。 对于IIS将优于大家习惯使用的HEAD。 如果上面的请求方法没匹配，那么就会认为是Webdav的请求，交给处理了。 这些请求包含Webdav支持的PROPFIND、PR

12、OPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK等。 0x01 配置 为了安全上的考虑，IIS默认并不会启动WebDAV的功能，因此必须另外来激活它。 通过启动“IIS管理器”，展开本地计算机，选择“Web服务扩展”，选择“允许”的途径来启动WebDAV功能。 开启WebDAV之后，IIS就支持PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK等方法了。 当IIS中的配置允许写入的时候就可以直接PUT文件上去，由此可能引发非常严重的安全问题，强烈建议禁制 当开启了WebDAV后，IIS中

13、又配置了目录可写，便会产生很严重的问题。 wooyun上由此配置产生的问题很多，并且有老外黑了一群中国政府站有一部分就是由于此配置。 危害巨大，操作简单，直接批量扫描，上传shell。 WooYun: 闪动科技webserver配置不当可取shell WooYun: 瑞达信息安全产业股份有限公司IIS写入漏洞 WooYun: 海航webdav漏洞导致服务器沦陷 WooYun: 阿里某邮件系统服务器配置不当 WooYun: 国家某局某文件系统存在严重安全问题 WooYun: 国内某大型风电工控系统应用配置失误 0x03 查找存在问题的服务器 对服务器发送OPTION包： OPTIONS / HT

14、TP/ Host: 返回响应头如下： HTTP/ 200 OK Server: Microsoft-IIS/ X-Powered-By: MS-Author-Via: DAV Content-Length: 0 Accept-Ranges: none DASL: DAV: 1, 2 Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH Allow: OPTIONS, TRACE, GET, HEAD, DELETE, C

15、OPY, MOVE, PROPFIND, PROPPATCH, SEARCH, MKCOL, LOCK, UNLOCK Cache-Control: private 当ALLOW中包含如上方法时，可以确定服务器开启了WebDAV。 此时可以用PUT上传文件，但是不可以直接上传可执行脚本文件，可以先上传一个其他类型的文件，然后MOVE成脚本文件。 PUT / HTTP/ Host: Content-Length: 23 启用了“WebDAV”扩展，并且复选了“写入”，就可以写入txt文件了。要想使用MOVE命令将其更名为脚本文件后缀，必须还复选上“脚本资源访问”。 但是发现利用IIS的解析漏洞，

16、可以MOVE成;.jpg，然后就可以当做shell来执行了 MOVE / HTTP/ Host: Destination: /Article/UploadPic/XX-7/ 有一个开源的DAV管理工具，使用工具直接查看： p 0x03 修复方案 1 禁用WebDAV。 通常情况下网站不需要支持额外的方法，右键WebDAV，点击禁用即可。 2 如果要使用WebDAV的话，加上权限验证。 如果选取“脚本资源访问”，则用户将具备修改WebADV文件夹内的脚本文说明件(scriptfile)的功能。 除了此处的虚拟目录权限外，还需要视NTFS权限，才可以决定用户是否有权限来访问WebDAV文件夹内的文件。