http://www.exploit-db.com/wp-content/themes/exploit/docs/19527.pdf

http://www.acunetix.com/blog/web-security-zone/articles/windows-short-8-3-filenames-web-security-problem/

文档已经说得很清楚了,简单的说下:

通过* ? ~组合可以猜目录名和文件名,使用short filenames文件名,可以直接访问文件。

用这个方法智能的Brute force,攻击一些备份了敏感数据如(.sql)的WEB程序.

修复方法:

http://technet.microsoft.com/en-us/library/cc959352.aspx

NtfsDisable8dot3NameCreation 设为1


网友评论:

livers | 2012-07-04 11:21

我昨天刚看了 打过补丁的IIS的是不中的

 

rayh4c (请不要叫我茄子。) | 2012-07-04 11:28

这个没补丁。只是个临时解决方案,禁用8.3 文件名也就是

Windows short filenames。

http://support.microsoft.com/kb/121007

 

tmp | 2012-07-04 11:40

以前只知道在aspx文件前加~会暴路径.http://target/xx/~sdf.aspx

 

rayh4c (请不要叫我茄子。) | 2012-07-04 11:50

补充一个细节:

1.IIS下可以用Windows short filenames猜目录和文件名。

2.windows+apache环境可以直接用Windows short filenames访问文件。

 

_Evil (性趣是最好的老师.) | 2012-07-04 11:59

@rayh4c 真像jsp 那个 //xxx/x.jsp xxxx/x.JSP这些暴源码 xxx/admin//这个直接登录(wooyun有)

 

_Evil (性趣是最好的老师.) | 2012-07-04 12:00

还请茄子大师来个内核调试分析? 像80sec解释漏洞那样 嘿嘿

 

horseluke (微碌) | 2012-07-04 12:16

测试了一下POC,IIS只能猜解无法下载的话,似乎危害性只是取决于文件夹前6个字母表达的信息多寡。

比如上图,只能猜出可能用了某厂家的webscan服务,但是是哪家?不知道...

 

possible (everything is possible) | 2012-07-04 13:38

@HRay 能否请教一下 对于iis猜出123456~1.asp有什么用没?

 

HRay | 2012-07-04 14:03

@possible 相当于把一个文件的部分文件名告诉你了,123456~1.asp,实际文件名可能是123456789.aspx,这样你可以做个123456XXX形式的字典来跑这个文件名,还有一些比较好猜测,比如我昨天跑某站的时候有一个x20120格式的7z文件,然后我做了一个简单的日期格式的字典,就爆菊了

 

HRay | 2012-07-04 14:10

@rayh4c apache可以直接用短文件名访问,不过这个漏洞好像不影响apache,眼看着肉没办法吃啊

 

rayh4c (请不要叫我茄子。) | 2012-07-04 14:13

@HRay 可以啊,已测。

 

HRay | 2012-07-04 14:32

@rayh4c 求解,apache下需要满足什么条件,我本地测试环境win2003+apache/2.0.63没成功,我在pdf里也没看到apache下相关的介绍

 

xsser (十根阳具有长短,世上人多心不齐) | 2012-07-04 14:35

挺好的啊 猜解后台神马的

 

rayh4c (请不要叫我茄子。) | 2012-07-04 14:38

@HRay 文件名 目录名 8字节以上

 

possible (everything is possible) | 2012-07-04 14:41

@HRay 噢 谢谢要是 iis也像apache直接访问就完美了 iis下局限性很大 猜测很费力吧

 

her0ma | 2012-07-04 14:43

http://www.nxadmin.com/web/544.html 嘿嘿 造福广大苦逼青年!

 

her0ma | 2012-07-04 14:45

@rayh4c 过滤包含"~"的请求 exploit-db是这么说的 貌似确实没啥补丁!

 

kEvin1986 (rm -rf / is what im diser) | 2012-07-04 14:51

话说这个也会和之前那个"不知道什么原因"和"要修改就要改太多东西"之类的理由被搁置吧...

abcdefghi.ext ~1

abcdefghij.ext ~2

~3

~4

 

坏虾 (黑阔都被爆菊花~) | 2012-07-04 16:43

我有预感,明后天会满屏幕的文件名泄漏.

这个也应该算信息泄漏的一种案例吧

 

HRay | 2012-07-04 16:52

@坏虾 哈哈,我昨天今天各发了一个,为了避免别人说刷rank,绝定不发这种的了

 

坏虾 (黑阔都被爆菊花~) | 2012-07-04 16:54

@HRay 那你就违背了乌云存在的价值了.可以打包发.....亲~~ 包邮~~ 给好评~~~

 

请叫我大神 | 2012-07-04 19:29

8dot3关闭,对于某些杀毒软件可能会有些问题,比如那啥什么顿

 

_Evil (性趣是最好的老师.) | 2012-07-04 19:45

@possible @gainover @_@ 这个很给力,如果是php的@_@暴了一个剩下的包含继续暴 暴到全局 暴到数据库。。。。 所有文件都暴光...

 

[点此查看更多评论]


相关资料:

关于8.3格式短文件名规范、DOS时代的8.3格式文件名规范

相关内容:

IIS短文件和文件夹泄漏漏洞

Windows short (8.3) filenames – a security nightmare?

Windows short filenames “漏洞”、利用 Windows 短文件名猜文件

站长评论:

其实这是个很鸡肋的“漏洞”……

首先,如果文件名符合8.3规范的文件(文件名主体部分小于等于8个字节、扩展名部分小于等于3个字节),则根本没有短文件名。

其次,汉字和特殊符号等字符的猜解,也是很蛋疼的问题……

最后,即使猜出来了,也只有前六位,只能靠运气碰碰看了……

不过,它还是有不小的用处,也算是很另类的一个“漏洞”吧……

(提示:如果目标站自定义了 400、404 错误页面,那么该扫描器是无法判断的……)

可以参考下表:

2012/07/04  20:46    <DIR>    !@#!@#~1.TXT    !@#!@#!@#.txt
2012/07/04  20:46    <DIR>                    !@#!@#.txt
2012/07/04  20:44    <DIR>    012345~1        0123456789
2012/07/04  20:44    <DIR>                    1
2012/07/04  20:44    <DIR>                    123
2012/07/04  20:44    <DIR>                    123456
2012/07/04  20:44    <DIR>                    1234567
2012/07/04  20:44    <DIR>                    12345678
2012/07/04  20:44    <DIR>    123456~1        123456789
2012/07/04  20:46    <DIR>                    啊.txt
2012/07/04  20:46    <DIR>    啊啊啊~1.TXT    啊啊啊啊啊啊啊啊啊.txt
2012/07/04  20:43    29       012345~1.TXT    0123456789.txt
2012/07/04  20:43    29                       1.txt
2012/07/04  20:43    29                       123.txt
2012/07/04  20:43    29                       123456.txt
2012/07/04  20:43    29                       1234567.txt
2012/07/04  20:43    29                       12345678.txt
2012/07/04  20:43    29       123456~1.TXT    123456789.txt

留言评论(旧系统):

晴天小铸 @ 2012-07-05 15:27:44

这个iis猜解的最大限度 是8个字节和三个后缀么? xxxxxxxx~1.aaa @_@两天一直没得电脑在学校。。 无法验证,求答案核叔叔

本站回复:

如果文件名符合8.3规范的文件(文件名主体部分小于等于8个字节、扩展名部分小于等于3个字节),则根本没有短文件名。 可以参考“站长评论”:http://lcx.cc/?i=2640