對遠(yuǎn)程分析IIS設(shè)置的簡單概述(2)

判斷一個目錄是否允許瀏覽可能需要一點(diǎn)點(diǎn)小技巧，但是，在網(wǎng)站的默認(rèn)首頁(如efault.asp)不存在的話，那么就再簡單不過了。在瀏覽器里面輸入：

http://iis-server/dir/

如果權(quán)限開著的，那么會返回200響應(yīng)，并且列出當(dāng)前目錄里面的內(nèi)容，反之，沒有列出目錄的話就是關(guān)了。但是，如果默認(rèn)頁面default.asp存在呢?敲入上面的地址就直接打開這個頁面了。別急，

WebDAV 里面有一個請求方法叫：PROFIND。這個方法使得我們可以從服務(wù)器資源里面得到一些如文件名，創(chuàng)建時間，最后修改時間等等的信息。利用它我們也可以繞過 default.asp 來判斷目錄瀏覽權(quán)限的情況， telnet到IIS-server的web端口，發(fā)送如下請求：

PROPFIND /dir/ HTTP/1.1

Host: iis-server

Content-Length: 0

補(bǔ)充日期: 2002-4-8 16:44:45

這時，服務(wù)器會送回一個207 Multi Status的響應(yīng)，如果目錄是允許瀏覽的，那么同時會列出目錄里面的資源以及他們的屬性。如果目錄瀏覽不允許，返回的信息就會少的多。目錄瀏覽一般來說只能算是一個低危險等級的漏洞，比如一個images目錄，里面除了圖片沒有別的東西了，那對于服務(wù)器的安全就沒有什么危害，但是，如果目錄里面放了一個管理頁面adminpage.asp或者一些數(shù)據(jù)庫連接信息文件，可能會導(dǎo)致你的服務(wù)器拱手相讓給入侵者。

讀權(quán)限

判斷這點(diǎn)很容易，發(fā)一個帶 txt文件的請求就可以：

http://iis-server/dir/ no-such-file.txt

如果返回一個 404 文件不存在的響應(yīng)，就說明讀權(quán)限是開著的,反正，返回403錯誤則說明都權(quán)限沒有開。早幾年接觸安全的人一定知道 ::$DATA泄露ASP源代碼的漏洞，其實如果一個目錄里面權(quán)勢asp腳本的話，那么讀權(quán)限也可以不用開的，ASP只需要腳本執(zhí)行權(quán)限就可以了。

IIS 認(rèn)證方法的判斷

這個漏洞是最近才公布出來的，IIS服務(wù)器支持匿名訪問，基本認(rèn)證和使用NTLM方式的windows集成認(rèn)證，如果客戶端發(fā)送一個包含認(rèn)證信息的請求，IIS就會強(qiáng)行的嘗試用這些認(rèn)證信息取認(rèn)證，并且放回不會的響應(yīng)。這樣我們就能夠確定IIS的認(rèn)證的配置。

要確定IIS是否支持基本認(rèn)證，可以telnet到服務(wù)器的80端口，發(fā)送如下請求：

GET / HTTP/1.1

Host: iis-server

Authorization: Basic c3lzdGVtOm1hbmFnZXIA

這是一個基本認(rèn)證的請求，里面包含了一個base 64編碼的用戶ID和PASS，Basic后面那串字符經(jīng)過base 64解碼以后就是 system:manager 。如果服務(wù)器返回一個401信息，則說明基本認(rèn)證選項是開著的。如果返回200信息，則有2種可能，基本認(rèn)證選項沒有開或者是服務(wù)器存在一個用戶名是

system的用戶名，并且密碼是manager (猜中的話，行大運(yùn)啦)。

要確定NTLM選項是否開啟則可以向IIS發(fā)送如下請求

GET / HTTP/1.1

Host: iis-server

Authorization: NegotiateTlRMTVNTUAABAAAAB4IAoAAAAAAAAAAAAAAAAAAAAAA=

同樣，如果返回401消息，則說明支持NTLM，返回200說明不NTLM認(rèn)證選項沒有開啟。

對于大多數(shù)網(wǎng)站來說，這兩種認(rèn)證方式都是不需要開起來的，他們有可能泄露一些服務(wù)器的重要信息。

泄露內(nèi)部IP地址信息

如果IIS服務(wù)器在一個使用NAT的防火墻里面的話，通常都有個內(nèi)部地址如10.x.x.x。

如果IIS開啟了基本認(rèn)證選項，那么發(fā)送如下一個簡單的請求就可以得到服務(wù)器的內(nèi)部IP：

GET / HTTP/1.1

Host:

Authorization: Basic c3lzdGVtOm1hbmFnZXIA

服務(wù)器將返回一個如下響應(yīng)：

HTTP/1.1 401 Access Denied

Server: Microsoft-IIS/5.0

Date: Fri, 01 Mar 2002 15:45:32 GMT

WWW-Authenticate: Basic realm="10.1.1.2"

Connection: close

Content-Length: 3245

Content-Type: text/html

那個10.1.1.2就是機(jī)器的內(nèi)部ip地址，本來realm的值是客戶端提供給的一個主機(jī)頭，但這里它是空的，所以IIS就選擇了本機(jī)的IP地址來代替。同樣的，利用PROPFIND,WRITE,MKCOL等請求的返回信息，也能泄露主機(jī)的一些信息，如我們向服務(wù)器提請下面這樣一個請求：

PROPFIND / HTTP/1.1

Host:

Content-Length: 0

在IIS配置成使用主機(jī)名(見后)的情況下，則不會暴露主機(jī)的IP地址，但是會暴露NetBIOS名。事實上我們可以利用IIS的認(rèn)證獲得更多的信息，如所在域的名字，方法是向服務(wù)器發(fā)送如下帶NTLM認(rèn)證的請求：

GET / HTTP/1.1

Host: iis-server

Authorization: NegotiateTlRMTVNTUAABAAAAB4IAoAAAAAAAAAAAAAAAAAAAAAA

服務(wù)器會返回一個信息：

HTTP/1.1 401 Access Denied

Server: Microsoft-IIS/5.0

Date: Fri, 01 Mar 2002 16:24:58 GMT

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]