渗透与防御--第十四课IIS6.0安全性解析

第一部分我们重点学习windows 2003 IIS6.0服务器软件的安全性，了解IIS6.0在渗透中被黑客利用的攻击点。
1.利用默认网站目录渗透
在IIS服务器安装完毕后，在internet信息服务管理器中会看到一个默认网站。默认站点的本地路径是：c：\inetpub\wwwroot,直接通过IP地址即可访问。这看似很正常的设置，其实也隐藏了一定的风险。在我们进行差异备份获取webshell的过程中，常常苦于找web的绝对路径。其实我们完全可以将一句话木马差异备份到这个默认目录，再通过IP地址来访问以获得权限。另外此招对于渗透web和数据库分离的主机十分有效，黑客可首先将数据库服务器拿下，再逐步渗透目标主站，一般安装完系统后都会提示安装IIS组件的。
2.上传漏洞的偏门剖析---应用程序扩展
在利用上传漏洞取得webshell的过程中，黑客会尝试在上传页面上传诸如asp等格式的脚本木马，由于此类漏洞严重，一般程序斗会过滤掉这类敏感的文件。除了上传asp文件，黑客还会尝试提交asa、cer、htr、cdx、aspx等类型的文件以绕过程序的过滤。为什么黑客上传这类扩展名的文件会被执行呢？其实这个和IIS应用程序配置有关，因为asp、asa、cer这些扩展名都是由asp.dll文件来进行解析的，asp能够被执行，那么同属于一个解释器的其他扩展名也能够被解析。
那么了解了上述的对应关系，这时你应该会明白黑客上传这些文件的原因了，比如在ewebeditor通过添加asa扩展来上传webshell，利用的就是这个原理。为了安全起见，建议删除不用的扩展名。
3.错误信息与盲注
在探测网站注入点的时候，攻击者都喜欢提交一个单引号，查看服务器返回的错误信息判断后台数据库的类型。很多时候返回的是空白信息，或者是固定的警告信息。比如提交单引号后返回‘严禁攻击此站’等信息，这些都是管理员事前进行设置的。可在主目录--配置--调试修改此项。
4.权限设置成拦路虎
IIS提供基本的权限设置，通过权限设置可大幅提高网站的安全性。同时权限也是阻挡黑客进攻网站的一道重要防线。在渗透中经常会遇到无法通过差异备份的一句话木马写入大马，其实这就是权限配置的问题。如果遇到这类情况，可尝试找到一些文件的上传目录进行解决，一般文件或者图片的上传目录斗会单独分配写权限，不然管理员也无法正常上传图片进行文章发布了。
5.目录流量泄露网站数据
很多时候管理员为了某种需要，设置允许访问网站目录，这样一来就埋下了严重的安全隐患。攻击者可通过目录流量获取一些敏感信息，比如可以看到数据库的路径以及后台地址，通常是配置了主目录的目录浏览选项。目录浏览也是入侵者实施渗透的一个切入点，可通过在网站的后台加/来判断。建议把此项取消选中。
6.web 服务扩展与提权渗透
一般为了支持aspx程序的运行，都会对web服务扩展进行配置，一般会启动asp.netV1.1.4322扩展。
开启了asp.net的扩展，网站就支持aspx程序运行了。默认情况下aspx的程序运行的权限是属于users组的，比asp的默认运行权限要高一些。另外在IIS6.0默认情况下。又分IUSR和IWAM以及默认的nt authority\network service.所以使用aspx的webshell可以跨越一些guests组无法看到的目录，比如在虚拟主机中查看其他网站的文件信息。由于aspx的webshell权限较高，可以直接运行cmd命令，而无需再上传cmd.exe文件进行调用。
7.IIS写权限渗透网站
IIS写权限漏洞是指服务器配置上的失误，导致可以匿名上传恶意代码到web目录下。此漏洞要跟webdav以及脚本资源访问、写入权限密切相关，如果IIS开启了这些功能将变得非常危险。
8.特殊目录暗藏杀机
这个漏洞只存在于windows2003 IIS6.0中，属于文件夹解析路径的漏洞。当文件夹的名字类似syue.asp的时候，此时该文件夹下的任何文件类型的文件都按照asp来执行。攻击者可尝试在web目录创建一个以上的恶意文件夹，然后将其他格式的脚本木马上传至该目录，那么这个文件就可以当作正常的asp脚本文件来运行。