摘要:由于短文件名的长度固定,因此黑客可直接对短文件名进行暴力破解,从而访问对应的文件。该短文件名有以下特征只有前六位字符直接显示,后续字符用指代。名称较短的文件是没有相应的短文件名的。四漏洞的修复通用有效方法禁用系统中的短文件名功能。
一、漏洞的成因
为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3 短文件名。
在Windows下查看对应的短文件名,可以使用命令 dir /x
如上图,aegis_inst.exe对应的短文件名为aegis_~1.exe。根据此特性,我们能够通过访问短文件名间接访问它对应的文件。
由于短文件名的长度固定(xxxxxx~xxxx),因此黑客可直接对短文件名进行暴力破解 ,从而访问对应的文件。
举个例子,有一个数据库备份文件 backup_www.abc.com_20150101.sql ,它对应的短文件名是 backup~1.sql 。因此黑客只要暴力破解出backup~1.sql即可下载该文件,而无需破解完整的文件名。
该短文件名有以下特征:
只有前六位字符直接显示,后续字符用~1指代。其中数字1还可以递增,如果存在多个文件名类似的文件(名称前6位必须相同,且后缀名前3位必须相同)。
后缀名最长只有3位,多余的被截断。
我们可以在启用.net的IIS下暴力列举短文件名,原因是:
访问构造的某个存在的短文件名,会返回404
访问构造的某个不存在的短文件名,会返回400
二、 漏洞的利用漏洞的利用,需要使用到通配符。在windows中,可以匹配n个字符,n可以为0. 判断某站点是否存在IIS短文件名暴力破解,构造payload,分别访问如下两个URL:
1. http://www.target.com/*~1****/a.aspx 2. http://www.target.com/l1j1e*~1****/a.aspx
这里我使用了4个星号,主要是为了程序自动化猜解,逐个猜解后缀名中的3个字符,实际上,一个星号与4个星号没有任何区别(上面已经提到,*号可以匹配空)。
如果访问第一个URL,返回404, 而访问第二个URL,返回400, 则目标站点存在漏洞。
判断漏洞存在后,继续猜解目录下是否存在一个a开头的文件或文件夹,访问:
http://www.target.com/a*~1****/a.aspx
如果存在,将返回404。 如此反复,不断向下猜解完所有的6个字符。
猜解完之后,得到的序列应该类似:
http://www.target.com/abcdef*~1****/a.aspx
到了这一步,需要考虑两种情况,如果以abcdef开头的是一个文件夹,则
http://www.target.com/abcdef*~1/a.aspx
将返回404.
如果abcdef开头的是一个文件,则自动提交
http://www.target.com/abcdef*~1*g**/a.aspx
用a-z的26个字母替换上述g的位置,应该能得到多个404页面。(记住一点,404代表的是存在。)如果下面的地址返回404,
http://www.target.com/abcde*~1*g**/a.aspx
则代表扩展名中肯定存在g。
按照上面的思路,继续猜解g后面的字符,直到后缀名中的3个字符都猜解完,就可以了。
以上介绍了怎么手工猜解,这个漏洞的意义何在:
1. 猜解后台地址 2. 猜解敏感文件,例如备份的rar、zip、.bak、.SQL文件等。 3. 在某些情形下,甚至可以通过短文件名web直接下载对应的文件。比如下载备份SQL文件。三、漏洞的局限性
这个漏洞的局限有几点:
1) 只能猜解前六位,以及扩展名的前3位。
2) 名称较短的文件是没有相应的短文件名的。
3)需要IIS和.net两个条件都满足。
1)通用有效方法:
禁用windows系统中的短文件名功能。 打开注册表并打开此目录 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem 修改 NtfsDisable8dot3NameCreation 的值为1 。 修改完成后,需要重启系统生效。
2)简单有效方法:CMD命令
Windows Server 2008 R2 查询是否开启短文件名功能:fsutil 8dot3name query 关闭该功能:fsutil 8dot3name set 1 Windows Server 2003 关闭该功能:fsutil behavior set disable8dot3 1
3)手动验证
新建文件夹并创建几个文件,打开CMD进入该文件夹呢执行dir /x 检测,看不到有显示短文件名则成功。
注: 1.Windows Server 2003修改后需要重启服务器生效! 2.已存在的文件短文件名不会取消,只对以后创建的文件有效! 3.WEB站点需要将内容拷贝到另一个位置, 如D:www到D:www.back,然后删除原文件夹D:www,再重命名D:www.back到D:www。 如果不重新复制,已经存在的短文件名则是不会消失的。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/60911.html
摘要:一服务类弱口令漏洞利用可以上传包上传慢速攻击文件包含漏洞后台弱口令后台部署包反序列化远程代码执行后台弱口令任意文件泄露反序列化后台弱口令后台部署包测试页面上传反序列化暴力 ...
摘要:计算机网络安全事件应急响应对象是指针对计算机或网络所存储传输处理的信息的安全事件主体可能来自自然界系统自身故障组织内部或外部的人计算机病毒计算机病毒或蠕虫蠕虫等。 目录 一、应急响应是 安全相关岗位的 必问知识点 我们根据客户的描述,进行判断: 二、那么什么应急响应呢 ??? 计算机网络安全...
摘要:信息泄露漏洞漏洞简介语法漏洞测试漏洞修复漏洞简介是美国公司的一个开源数据分析平台。中存在信息泄露漏洞,该漏洞源于产品的操作缺少权限验证。攻击者可通过该漏洞获得敏感信息。 ...
摘要:携程官网瘫痪事件在日引发满城风雨,再次引发所有用户对互联网安全话题的讨论。目前事件有了进一步进展,晚间点左右,携程公司员工在微信上表示,目前携程官网数据已经恢复正常。 来自http://www.codefrom.com/paper/%E6%90%BA%E7%A8%8B%E8%A2%AB%E6%94%BB%E5%... 背景 5月28日上午11:09,携程网遭受不明攻击导致官方...
摘要:携程官网瘫痪事件在日引发满城风雨,再次引发所有用户对互联网安全话题的讨论。目前事件有了进一步进展,晚间点左右,携程公司员工在微信上表示,目前携程官网数据已经恢复正常。 来自http://www.codefrom.com/paper/%E6%90%BA%E7%A8%8B%E8%A2%AB%E6%94%BB%E5%... 背景 5月28日上午11:09,携程网遭受不明攻击导致官方...
阅读 355·2021-11-18 10:02
阅读 897·2021-11-02 14:41
阅读 484·2021-09-03 10:29
阅读 1728·2021-08-23 09:42
阅读 2577·2021-08-12 13:31
阅读 1012·2019-08-30 15:54
阅读 1811·2019-08-30 13:09
阅读 1338·2019-08-30 10:55