Microsoft IIS 短文件名/目录名 枚举漏洞

IIS文件枚举漏洞详解
最新推荐文章于 2025-09-18 23:14:03 发布
转载 最新推荐文章于 2025-09-18 23:14:03 发布 · 7k 阅读 · 1
文章标签:

#microsoft #iis #character #internet #互联网 #windows

本文介绍了一个存在于Microsoft IIS中的文件枚举漏洞,该漏洞允许攻击者通过使用特定字符来枚举网络服务器根目录中的文件。文章提供了漏洞利用的技术细节及安全建议。 
Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。

Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件

IIS Short File/Folder Name Disclosure by using tilde “~” character
<* 参考
Soroush Dalili (Irsdl@yahoo.com)
http://soroush.secproject.com/blog/2012/06/microsoft-iis-tilde-character-vulnerabilityfeature-short-filefolder-name-disclosure/ 
http://www.acunetix.com/blog/web-security-zone/articles/windows-short-8-3-filenames-web-security-problem/
*>
安全建议:
厂商补丁:

Microsoft
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.microsoft.com/technet/security/

http://technet.microsoft.com/en-us/library/cc959352.aspx
Microsoft IIS文件名漏洞验证测试
afei001
12-23 2142
目录 1.前言 2.漏洞原理 3.Microsoft IIS扫描器 4.漏洞验证 5.漏洞修复 1.前言 今天使用AWVS对目标网站进行漏扫时,发现了Microsoft IIS tilde directory enumeration漏洞,即常说的Microsoft IIS文件名漏洞。 afei 文件漏洞请参考笔记:文件名漏洞介绍及利用 漏洞等级: 获取非敏感信息文件:中危; 可获取敏感信息(账号密码、数据库...):高危。 ...
IIS文件名枚举
weixin_57298110的博客
10-15 1196
iisInternet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows互联网基本服务。最初是Windows NT版本的可选包,随后内置在Windows 2000、Windows XP Professional和Windows Server 2003一起发行,但在Windows XP Home版本上并没有IIS
IIS文件名漏洞利用工具
07-31
本工具可以测试IIS对应的URL是否存在漏洞,若存在漏洞,则猜解文件夹下所有的文件名:包括文件和文件名
IIS文件漏洞修复全攻略
最新发布
quxing10086的博客
09-18 445
时未正确处理 8.3 格式文件名,攻击者可利用此漏洞枚举服务器上的敏感文件或目录结构。)重新扫描服务器,确认无法通过文件名枚举文件或目录。IIS 文件/文件夹漏洞是由于 IIS 在解析。已在较新版本中优化了文件名处理逻辑。确保使用最新版本的 IIS
IIS下ASP目录漏洞IIS分号漏洞(;)的临时解决方法
01-20
解决方法: 下载 银月服务器工具,使用工具->组件下载器下载ISAPI_Rewrite,解压出来。 把ISAPI_Rewrite中的ISAPI_Rewrite.dll添加为ISAPI,名字为ISAPI_Rewrite,这就是伪静态,做过的不用安装了 下载漏洞补丁包,即下图选择的项目,下载打开! 把ISAPI_Rewrite目录中的httpd.ini替换成补丁包中的httpd.ini。 或者保证ISAPI_Rewrite下面的httpd.ini有下图选择的两行规则也行!这样就能防止这两个IIS漏洞了,是要这两条规则有效就行了,ISAPI_Rewrite目录下面的httpd.ini是全局配置文件
Microsoft IIS 文件名/目录名 枚举漏洞修复步骤
热门推荐
hzfw2008的博客
07-30 1万+
近期网站系统被扫描出漏洞文件名/目录名 枚举漏洞Microsoft IIS tilde directory enumeration 危害级别:轻微 IIS文件名泄露漏洞 WASC Threat Classification 描述: Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。 Internet Information Serv...
Microsoft IIS波浪号目录枚举/IIS文件名枚举漏洞
weixin_44664530的博客
06-11 9241
Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。 复现: /images//*~1*/a.aspx?aspxerrorpath=/ 危害: 攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。 解决方案:修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem \NtfsDisable8dot3NameCreation的值为1,或者,
IIS文件名漏洞复现图文详解
09-29
IIS文件名漏洞是一种信息安全问题,该漏洞允许攻击者通过特定技术手段,获取服务器上不应公开的文件和文件夹信息。在了解和防御这种漏洞之前,首先需要掌握相关的概念和技术背景。 首先,IIS是微软公司的Internet...
IIS文件名泄漏漏洞利用工具下载
03-05
描述中的“IIS中间键.NET漏洞猜解网站目录或文件名”可能指的是利用.NET框架在IIS上的特定行为。攻击者可能使用自动化工具,如压缩包中的`scanner-compiled`,进行猜测和枚举,尝试各种可能的文件名组合,以此来...
Microsoft IIs tilde directory enumeration
weixin_30348519的博客
11-25 1411
漏洞标题: iis 文件名列举漏洞 检测: https://code.google.com/p/iis-shortname-scanner-poc/ 查看扫描出来的目录,全是404 ,比较鸡肋。 ...
Microsoft IIS tilde directory enumeration POC
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
04-25 1634
https://code.google.com/p/iis-shortname-scanner-poc/ https://github.com/lijiejie/IIS_shortname_Scanner 手工测试 http://www.target.com/~1***/a.aspx http://www.target.com/l1j1e*~1****/a.aspx 第一个为404,第二个为400说明存在此漏洞
修改IIS 的Banner 实现操作系统版本的隐藏
04-16
修改IIS 的Banner 实现操作系统版本的隐藏
Microsoft IIS tilde directory enumeration 可能的解决方法之一
tinyleaf的博客
04-24 4740
参考网址: https://www.cnblogs.com/cdemo/p/4581515.html   解决方式: 1IIS6.1版本以下 针对IIS添加微软URLScan  ISAPI筛选器,具体过程请自我搜索! 2:针对IIS6.1以上版本,由于内部默认集成筛选器过滤。请在IIS服务器跟节点 功能视图中 找到 请求筛选  URL 和 查询字符串中 添加 ~  * 等字符 第一个...
iis 目录枚举文件枚举解决方案
xuan2717的博客
08-29 628
iis 目录枚举文件枚举解决方案
IIS tilde directory enumeration 漏洞以及解决方案
jcoiwenwfkowe的博客
06-10 564
IIS tilde directory enumeration 漏洞以及解决方案
iis服务器版本信息泄漏,IIS文件和文件夹泄漏漏洞
weixin_42510841的博客
08-06 3250
本文翻译自exploit-db.com,是苦逼阿德马童鞋经过数小时折腾而成,转载请著名出处,tks.E文太菜,如果有错误之处请各位大大多多指正.IIS是有微软使用微软windows功能扩展模块创建的一套web服务器应用程序,是世界上第三个最流行的服务器。漏洞描述:漏洞研究小组发现了一个微软IIS漏洞,攻击者可以利用一个包含”~”的get请求,来让服务器上的文件和文件夹被泄漏、影响版本:IIS 1...
IIS文件名枚举漏洞
laughingsister的博客
11-19 1365
1、修改注册表项:(重启服务器生效) HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation 值为1。 2、执行DOS命令, fsutil behavior set disable8dot3 1。 3、删除现有的IIS目录重新部署,完成此步骤才能完全修复。 ...
Microsoft IIS self decoding behavior leads to WAF Bypass/information disclosure
cnbird's blog
02-16 699
Author: Itzhak AvrahamBlog : http://imthezuk.blogspot.comarticle source: http://imthezuk.blogspot.com/2010/02/microsoft-iis-5051-possibly-60.htmlAffects :IIS 5.0, IIS5.1, Maybe 6.0 as-well.
IIS文件名漏洞扫描工具使用教程
综合上述内容,我们可以了解到IIS文件名漏洞是一种存在于早期Windows服务器软件中的安全漏洞,通过特定的Java编写的漏洞利用工具可以被探测和利用。而要使用这类工具,需要有正确的Java环境配置,并且必须遵守相关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值