http://www.exploit-db.com/wp-content/themes/exploit/docs/19527.pdf
文档已经说得很清楚了,简单的说下:
通过* ? ~组合可以猜目录名和文件名,使用short filenames文件名,可以直接访问文件。
用这个方法智能的Brute force,攻击一些备份了敏感数据如(.sql)的WEB程序.
修复方法:
http://technet.microsoft.com/en-us/library/cc959352.aspx
NtfsDisable8dot3NameCreation 设为1
网友评论:
livers | 2012-07-04 11:21
我昨天刚看了 打过补丁的IIS的是不中的
rayh4c (请不要叫我茄子。) | 2012-07-04 11:28
这个没补丁。只是个临时解决方案,禁用8.3 文件名也就是
Windows short filenames。
http://support.microsoft.com/kb/121007
tmp | 2012-07-04 11:40
以前只知道在aspx文件前加~会暴路径.http://target/xx/~sdf.aspx
rayh4c (请不要叫我茄子。) | 2012-07-04 11:50
补充一个细节:
1.IIS下可以用Windows short filenames猜目录和文件名。
2.windows+apache环境可以直接用Windows short filenames访问文件。
_Evil (性趣是最好的老师.) | 2012-07-04 11:59
@rayh4c 真像jsp 那个 //xxx/x.jsp xxxx/x.JSP这些暴源码 xxx/admin//这个直接登录(wooyun有)
_Evil (性趣是最好的老师.) | 2012-07-04 12:00
还请茄子大师来个内核调试分析? 像80sec解释漏洞那样 嘿嘿
horseluke (微碌) | 2012-07-04 12:16
测试了一下POC,IIS只能猜解无法下载的话,似乎危害性只是取决于文件夹前6个字母表达的信息多寡。
比如上图,只能猜出可能用了某厂家的webscan服务,但是是哪家?不知道...
possible (everything is possible) | 2012-07-04 13:38
@HRay 能否请教一下 对于iis猜出123456~1.asp有什么用没?
HRay | 2012-07-04 14:03
@possible 相当于把一个文件的部分文件名告诉你了,123456~1.asp,实际文件名可能是123456789.aspx,这样你可以做个123456XXX形式的字典来跑这个文件名,还有一些比较好猜测,比如我昨天跑某站的时候有一个x20120格式的7z文件,然后我做了一个简单的日期格式的字典,就爆菊了
HRay | 2012-07-04 14:10
@rayh4c apache可以直接用短文件名访问,不过这个漏洞好像不影响apache,眼看着肉没办法吃啊
rayh4c (请不要叫我茄子。) | 2012-07-04 14:13
@HRay 可以啊,已测。
HRay | 2012-07-04 14:32
@rayh4c 求解,apache下需要满足什么条件,我本地测试环境win2003+apache/2.0.63没成功,我在pdf里也没看到apache下相关的介绍
xsser (十根阳具有长短,世上人多心不齐) | 2012-07-04 14:35
挺好的啊 猜解后台神马的
rayh4c (请不要叫我茄子。) | 2012-07-04 14:38
@HRay 文件名 目录名 8字节以上
possible (everything is possible) | 2012-07-04 14:41
@HRay 噢 谢谢要是 iis也像apache直接访问就完美了 iis下局限性很大 猜测很费力吧
her0ma | 2012-07-04 14:43
http://www.nxadmin.com/web/544.html 嘿嘿 造福广大苦逼青年!
her0ma | 2012-07-04 14:45
@rayh4c 过滤包含"~"的请求 exploit-db是这么说的 貌似确实没啥补丁!
kEvin1986 (rm -rf / is what im diser) | 2012-07-04 14:51
话说这个也会和之前那个"不知道什么原因"和"要修改就要改太多东西"之类的理由被搁置吧...
abcdefghi.ext ~1
abcdefghij.ext ~2
~3
~4
坏虾 (黑阔都被爆菊花~) | 2012-07-04 16:43
我有预感,明后天会满屏幕的文件名泄漏.
这个也应该算信息泄漏的一种案例吧
HRay | 2012-07-04 16:52
@坏虾 哈哈,我昨天今天各发了一个,为了避免别人说刷rank,绝定不发这种的了
坏虾 (黑阔都被爆菊花~) | 2012-07-04 16:54
@HRay 那你就违背了乌云存在的价值了.可以打包发.....亲~~ 包邮~~ 给好评~~~
请叫我大神 | 2012-07-04 19:29
8dot3关闭,对于某些杀毒软件可能会有些问题,比如那啥什么顿
_Evil (性趣是最好的老师.) | 2012-07-04 19:45
@possible @gainover @_@ 这个很给力,如果是php的@_@暴了一个剩下的包含继续暴 暴到全局 暴到数据库。。。。 所有文件都暴光...
相关资料:
关于8.3格式短文件名规范、DOS时代的8.3格式文件名规范
相关内容:
Windows short (8.3) filenames – a security nightmare?
Windows short filenames “漏洞”、利用 Windows 短文件名猜文件
站长评论:
其实这是个很鸡肋的“漏洞”……
首先,如果文件名符合8.3规范的文件(文件名主体部分小于等于8个字节、扩展名部分小于等于3个字节),则根本没有短文件名。
其次,汉字和特殊符号等字符的猜解,也是很蛋疼的问题……
最后,即使猜出来了,也只有前六位,只能靠运气碰碰看了……
不过,它还是有不小的用处,也算是很另类的一个“漏洞”吧……
(提示:如果目标站自定义了 400、404 错误页面,那么该扫描器是无法判断的……)
可以参考下表:
2012/07/04 20:46 <DIR> !@#!@#~1.TXT !@#!@#!@#.txt 2012/07/04 20:46 <DIR> !@#!@#.txt 2012/07/04 20:44 <DIR> 012345~1 0123456789 2012/07/04 20:44 <DIR> 1 2012/07/04 20:44 <DIR> 123 2012/07/04 20:44 <DIR> 123456 2012/07/04 20:44 <DIR> 1234567 2012/07/04 20:44 <DIR> 12345678 2012/07/04 20:44 <DIR> 123456~1 123456789 2012/07/04 20:46 <DIR> 啊.txt 2012/07/04 20:46 <DIR> 啊啊啊~1.TXT 啊啊啊啊啊啊啊啊啊.txt 2012/07/04 20:43 29 012345~1.TXT 0123456789.txt 2012/07/04 20:43 29 1.txt 2012/07/04 20:43 29 123.txt 2012/07/04 20:43 29 123456.txt 2012/07/04 20:43 29 1234567.txt 2012/07/04 20:43 29 12345678.txt 2012/07/04 20:43 29 123456~1.TXT 123456789.txt
留言评论(旧系统):