本文描述IIS 6.0中WebDAV安全测试过程及注意事项,环境如下:
IIS:win7 VM安装的win server 2003的IIS 6.0
使用工具:burp suit
一、判断是否开启WebDAV
1.1 IIS 6.0 中WebDAV的关闭与开启位置
1.2 WebDAV禁止与允许时,burp suit测试效果
--
PS:请求中,OPTIONS、PUT等请求方法对应的路径最好使用根路径,防止误判,如上图中最好使用:OPTIONS /WhTest/ HTTP/1.1
二、尝试PUT上传txt文件
尝试使用PUT上传简单的txt文件,上传成功需要的2个条件是
(1)启用了“WebDAV”扩展
(2)复选了“写入”
2.1 PUT上传失败、成功测试效果
--
PS:服务器可能安装安全防护软件,因此,先上传简单文本文件测试是否能成功上传,然后再考虑上传webshell
2.2 上传webshell的txt格式文件
IIS直接上传asp/asa、aspx/asmx等格式的webshell是上传不了的,因此先上传txt格式的webshell
PS 1:asmx的也可以解析aspx,asa的也可以解析asp
PS 2:webshell上传可能会被服务器中的防护软件拦截,可以变换格式上传。
三、txt文件格式调整
上一步上传的txt格式文件,需要调整为正确格式的webshell,有两种方法:
(1)利用WebDAV的MOVE或COPY请求方法
(2)利用IIS 6.0的解析漏洞
3.1 MOVE方法
3.1.1 MOVE方法操作成功的3个条件为:
(1)开启WebDAV;
(2)复选了“写入”
(3)复选上“脚本资源访问”。复选上“脚本资源访问”如下图所示
3.1.2 MOVE或COPY失败、成功测试效果
--
3.1.3 连接webshell
访问http://172.19.3.19/WhTest/t.asp连接webshell
PS:经测试,访问webshell时,“脚本资源访问”权限不是必须的。
3.2 利用IIS解析漏洞
3.2.1 利用IIS 6.0解析漏洞调整格式
该方式不用复选“脚本资源访问”,但是要满足3个条件:
(1)开启WebDAV;
(2)复选了“写入”
(3)存在IIS 6.0解析漏洞
3.2.2 利用方法
(1)把t.txt文件move 成 t.asp;.txt
(2)使用http://172.19.3.19/WhTest/t.asp.txt连接
ps 1:IIS 6.0解析漏洞参看网络资料,说是微软未进行修补,未确认。
PS 2:3.2方式是参照网络资料编写,自己搭建的虚拟机环境访问,未解析为asp,仍然为txt格式,后面有时间再做调试。
四、WebDAV利用条件总结
(1)开启WebDAV;
并且
(2)有写入权限;
并且
(3)存在解析漏洞或者有“脚本资源访问”权限。