對(duì)遠(yuǎn)程分析IIS設(shè)置的簡(jiǎn)單概述(2)

判斷一個(gè)目錄是否允許瀏覽可能需要一點(diǎn)點(diǎn)小技巧，但是，在網(wǎng)站的默認(rèn)首頁(yè)(如efault.asp)不存在的話，那么就再簡(jiǎn)單不過(guò)了。在瀏覽器里面輸入：

http://iis-server/dir/

如果權(quán)限開(kāi)著的，那么會(huì)返回200響應(yīng)，并且列出當(dāng)前目錄里面的內(nèi)容，反之，沒(méi)有列出目錄的話就是關(guān)了。但是，如果默認(rèn)頁(yè)面default.asp存在呢?敲入上面的地址就直接打開(kāi)這個(gè)頁(yè)面了。別急，

WebDAV 里面有一個(gè)請(qǐng)求方法叫：PROFIND。這個(gè)方法使得我們可以從服務(wù)器資源里面得到一些如文件名，創(chuàng)建時(shí)間，最后修改時(shí)間等等的信息。利用它我們也可以繞過(guò) default.asp 來(lái)判斷目錄瀏覽權(quán)限的情況， telnet到IIS-server的web端口，發(fā)送如下請(qǐng)求：

PROPFIND /dir/ HTTP/1.1

Host: iis-server

Content-Length: 0

補(bǔ)充日期: 2002-4-8 16:44:45

這時(shí)，服務(wù)器會(huì)送回一個(gè)207 Multi Status的響應(yīng)，如果目錄是允許瀏覽的，那么同時(shí)會(huì)列出目錄里面的資源以及他們的屬性。如果目錄瀏覽不允許，返回的信息就會(huì)少的多。目錄瀏覽一般來(lái)說(shuō)只能算是一個(gè)低危險(xiǎn)等級(jí)的漏洞，比如一個(gè)images目錄，里面除了圖片沒(méi)有別的東西了，那對(duì)于服務(wù)器的安全就沒(méi)有什么危害，但是，如果目錄里面放了一個(gè)管理頁(yè)面adminpage.asp或者一些數(shù)據(jù)庫(kù)連接信息文件，可能會(huì)導(dǎo)致你的服務(wù)器拱手相讓給入侵者。

讀權(quán)限

判斷這點(diǎn)很容易，發(fā)一個(gè)帶 txt文件的請(qǐng)求就可以：

http://iis-server/dir/ no-such-file.txt

如果返回一個(gè) 404 文件不存在的響應(yīng)，就說(shuō)明讀權(quán)限是開(kāi)著的,反正，返回403錯(cuò)誤則說(shuō)明都權(quán)限沒(méi)有開(kāi)。早幾年接觸安全的人一定知道 ::$DATA泄露ASP源代碼的漏洞，其實(shí)如果一個(gè)目錄里面權(quán)勢(shì)asp腳本的話，那么讀權(quán)限也可以不用開(kāi)的，ASP只需要腳本執(zhí)行權(quán)限就可以了。

IIS 認(rèn)證方法的判斷

這個(gè)漏洞是最近才公布出來(lái)的，IIS服務(wù)器支持匿名訪問(wèn)，基本認(rèn)證和使用NTLM方式的windows集成認(rèn)證，如果客戶端發(fā)送一個(gè)包含認(rèn)證信息的請(qǐng)求，IIS就會(huì)強(qiáng)行的嘗試用這些認(rèn)證信息取認(rèn)證，并且放回不會(huì)的響應(yīng)。這樣我們就能夠確定IIS的認(rèn)證的配置。

要確定IIS是否支持基本認(rèn)證，可以telnet到服務(wù)器的80端口，發(fā)送如下請(qǐng)求：

GET / HTTP/1.1

Host: iis-server

Authorization: Basic c3lzdGVtOm1hbmFnZXIA

這是一個(gè)基本認(rèn)證的請(qǐng)求，里面包含了一個(gè)base 64編碼的用戶ID和PASS，Basic后面那串字符經(jīng)過(guò)base 64解碼以后就是 system:manager 。如果服務(wù)器返回一個(gè)401信息，則說(shuō)明基本認(rèn)證選項(xiàng)是開(kāi)著的。如果返回200信息，則有2種可能，基本認(rèn)證選項(xiàng)沒(méi)有開(kāi)或者是服務(wù)器存在一個(gè)用戶名是

system的用戶名，并且密碼是manager (猜中的話，行大運(yùn)啦)。

要確定NTLM選項(xiàng)是否開(kāi)啟則可以向IIS發(fā)送如下請(qǐng)求

GET / HTTP/1.1

Host: iis-server

Authorization: NegotiateTlRMTVNTUAABAAAAB4IAoAAAAAAAAAAAAAAAAAAAAAA=

同樣，如果返回401消息，則說(shuō)明支持NTLM，返回200說(shuō)明不NTLM認(rèn)證選項(xiàng)沒(méi)有開(kāi)啟。

對(duì)于大多數(shù)網(wǎng)站來(lái)說(shuō)，這兩種認(rèn)證方式都是不需要開(kāi)起來(lái)的，他們有可能泄露一些服務(wù)器的重要信息。

泄露內(nèi)部IP地址信息

如果IIS服務(wù)器在一個(gè)使用NAT的防火墻里面的話，通常都有個(gè)內(nèi)部地址如10.x.x.x。

如果IIS開(kāi)啟了基本認(rèn)證選項(xiàng)，那么發(fā)送如下一個(gè)簡(jiǎn)單的請(qǐng)求就可以得到服務(wù)器的內(nèi)部IP：

GET / HTTP/1.1

Host:

Authorization: Basic c3lzdGVtOm1hbmFnZXIA

服務(wù)器將返回一個(gè)如下響應(yīng)：

HTTP/1.1 401 Access Denied

Server: Microsoft-IIS/5.0

Date: Fri, 01 Mar 2002 15:45:32 GMT

WWW-Authenticate: Basic realm="10.1.1.2"

Connection: close

Content-Length: 3245

Content-Type: text/html

那個(gè)10.1.1.2就是機(jī)器的內(nèi)部ip地址，本來(lái)realm的值是客戶端提供給的一個(gè)主機(jī)頭，但這里它是空的，所以IIS就選擇了本機(jī)的IP地址來(lái)代替。同樣的，利用PROPFIND,WRITE,MKCOL等請(qǐng)求的返回信息，也能泄露主機(jī)的一些信息，如我們向服務(wù)器提請(qǐng)下面這樣一個(gè)請(qǐng)求：

PROPFIND / HTTP/1.1

Host:

Content-Length: 0

在IIS配置成使用主機(jī)名(見(jiàn)后)的情況下，則不會(huì)暴露主機(jī)的IP地址，但是會(huì)暴露NetBIOS名。事實(shí)上我們可以利用IIS的認(rèn)證獲得更多的信息，如所在域的名字，方法是向服務(wù)器發(fā)送如下帶NTLM認(rèn)證的請(qǐng)求：

GET / HTTP/1.1

Host: iis-server

Authorization: NegotiateTlRMTVNTUAABAAAAB4IAoAAAAAAAAAAAAAAAAAAAAAA

服務(wù)器會(huì)返回一個(gè)信息：

HTTP/1.1 401 Access Denied

Server: Microsoft-IIS/5.0

Date: Fri, 01 Mar 2002 16:24:58 GMT

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]