• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

认证绕过漏洞【攻防演练笔记】


Pb2d

Recommended Posts

认证绕过漏洞

1.1 IIS认证绕过和源码泄露漏洞复现

1.1.1 漏洞描述

Microsoft IIS(Internet Information Server)是Microsoft Windows系统默认自带的Web服务器软件,其中默认包含FTP服务。Microsoft IIS中存在认证绕过漏洞和源码泄露漏洞,该漏洞源于对用户提供的输入未经正确的验证。攻击者可利用这些漏洞在服务器进程上下文中获取密码保护资源和查看源代码文件的未授权访问,且有助于进一步攻击。

1.1.2 漏洞分析和复现
漏洞影响版本:IIS 6.0、IIS 7.5
漏洞分析:

Microsoft IIS由于无法正确清理用户提供的输入,容易出现身份验证绕过漏洞和源代码泄露漏洞。主要包括以下三类绕过:

1 安装了PHPMicrosoft IIS 6.0身份验证绕过:
IIS / 6.0加载受保护(如:admin)目录中的PHP文件需要用户认证信息(用户名和密码访问),如果将“:: $ INDEX_ALLOCATION”后缀附加到目录名称后面,存在绕过认证并可能访问管理文件等特殊情况,导致IIS服务器重要信息泄露;
 Eg:/admin::$INDEX_ALLOCATION/index.php
2 Microsoft IIS 7.5经典ASP身份验证绕过:
配置了经典ASP.NET Framework 4.0Microsoft IIS 7.5,通过将“:$ i30$ INDEX_ALLOCATION”后缀附加到需要认证的请求目录名称后面,可以绕过经典的ASP文件访问限制;
Eg:举例:/admin:$i30:$INDEX_ALLOCATION/index.asp
3 Microsoft IIS 7.5 .NET源代码公开和身份验证绕过:
在配置中安装了PHPMicrosoft IIS / 7.5,存在认证绕过漏洞;
Eghttp://<victimIIS75>/admin:$i30:$INDEX_ALLOCATION/admin.php
除此之外,通过将/.php附加到ASPX文件(或使用未通过请求过滤规则阻止的.NET框架的任何其他文件,如错误配置:.CS.VB等文件)。IIS 7.5使用文件的完整源代码进行响应,并将其作为PHP代码执行。这意味着通过使用上传功能,可以(在特殊情况下)执行任意PHP代码。

Eg:  http://<victimIIS75>/Default.aspx/.php  php任意代码执行)
漏洞类型:可远程利用,可触发认证绕过和信息泄露
漏洞复现:

复现环境:Windows 7 x64位,默认IIS 7.5 以下验证复现上述(3)的漏洞,(1)和(2)类似此处不做验证:

  1. IIS网站根目录下创建admin用户目录,关闭默认用户认证,换言之,访问/admin/index.php目录下的文件需要认证信息,认证失败或者无认证信息将会返回401未授权页面

  2. 配置完成后,重启IIS服务器,浏览器远程访问此文件

    http://url/admin/index.php
    默认IIS账户访问提示401未授权;
    
  3. 接下来,利用:$i30:$INDEX_ALLOCATION来绕过此限制,浏览器远程访问:

    http://url/admin:$i30:$INDEX_ALLOCATION/index.php
    成功绕过并访问到敏感信息
    
  4. 除此之外,如果目标站点限制上传和访问php文件,可以利用上传aspx(.net支持解析的文件类型)文件逃避限制,将其当做php代码执行

    Eg:网站目录下有一个index.aspx的文件,里面写有php代码,正常通过http://192.168.180.207/admin:$i30:$INDEX_ALLOCATION/index.aspx访问此文件无法执行代码,通过在末尾加上index.aspx/.php形式访问将会成功执行php代码
    
    a. 正常绕过访问index.aspx文件,页面返回乱码,未执行phpinfo代码
    b. 通过在末尾加上/.php,成功执行php代码
    
漏洞缓解:
  1. IIS 7.5 配置.NET Framework 2.0不受上述(2)的绕过影响;

  2. 攻击者需要事先获取IIS服务器受认证保护目录;

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now