IIS短文件漏洞的介绍与相关利用

这个是最近爆出来的，而且没有补丁，只有临时解决方案，而微软临时解决方案的普及度可以说相当之低。用这个漏洞可以爆出web物理路径下全部的文件，虽然仅仅是8.3命名规则，但这也已经足够了。

如果扫出了RAR、7Z、ZIP等文件，再配合自己手工生成字典猜解剩下的几个字符，那么离下载也就不远了。如果是LOG、BAK、SQL、MDB等文件，虽然这些文件在.net环境下不能下载，但是配合一些任意文件下载漏洞也是可以利用的，而且仅asp而无.net拓展的iis也不少见。

工具见附件，漏洞看似鸡肋但有些时候会达到意想不到的效果。举个例子：某站主站有且只有爆绝对路径漏洞一个：d:\webroot\website1\，旁站只有asp鸡肋注入漏洞一个，可联合查询但无后台。

一般来说这样近乎无解，但是通过这个漏洞可以扫出一些敏感目录。假设扫到：/adm12345~1/，之后猜解得/adm1234567890/。继续扫描得到数据库：/adm1234567890/db/admdata.asp，由于添加防下载表，数据库无法下载。

这时我们可以利用上面的那个鸡肋注入，尝试构造语句：

union select 1,2,3,4 from [d:\webroot\website1\adm1234567890\db\admdata.asp].adm

来猜解表名，构造语句：

union select 1,adm_pwd,3,4 from [d:\webroot\website1\adm1234567890\db\admdata.asp].adm

来猜解表名，构造语句：

union select 1,adm_pwd,adm_name,4

from [d:\webroot\website1\adm1234567890\db\admdata.asp].adm where adm_id=1

来得到最终用户名和密码。

当然，以上都是我YY出来的过程，但并不是完全没有可能的，用一个简单的漏洞测试系统就可以完整的呈现上面的过程，漏洞测试系统见附件，其中的test.mdb就是模拟上面的admdata.asp。

总之就是，无论信息多少、完整不完整，有总比没有强。

另：这程序有BUG，扫描有可能不全，而且有时候会扫出一些根本不存在的目录/文件。由于不会写多线程，同时不熟悉JAVA，写出的程序效率不能忍受不得不继续使用此程序。求大牛修改此程序，如果能加上在目录中递归扫描功能就太好了。