淺析IIS6.0設(shè)計(jì)缺陷

作者：佚名 2009-04-04 21:18:17

應(yīng)該是好久以前吧，呵呵，大家應(yīng)該還記得動(dòng)易那個(gè)沒有過濾.和asp的漏子吧.在2003系統(tǒng)的iis6.0的配合下，我們小黑們很容易在如xx.asp的文件夾下上傳一個(gè)xx.jpg的木馬文件，這樣我們就可以得到web木馬了.今天我們談到的問題就是這個(gè)設(shè)計(jì)缺陷.

一：無法訪問大馬的疑問及解決辦法.

本來也想往原理性的方面探討下，可用google和百度怎么也搜索不出我想要的結(jié)果，而且網(wǎng)上找到的也只說了個(gè)方法：讓我們建一個(gè)xx.asp的文件夾，然后在其文件夾里面上傳一個(gè)木馬，把木馬改成jpg或者gif后就可以得到我們的后門馬了，可今天我試了一下的時(shí)候卻出現(xiàn)了一些讓人疑惑的問題.還是用實(shí)驗(yàn)來說明下情況吧.我的虛擬機(jī)是2003的，裝有iis6.0并充許asp及aspx腳本文件執(zhí)行.那么我們一步步來實(shí)驗(yàn)下,首現(xiàn)我的的IIS目錄下建一個(gè)1.asp的文件夾，里面放了一個(gè)大馬，文件名已經(jīng)改成dama.jpg，如圖1.

接著我們來到本機(jī)上訪問下，如圖2

,成功訪問了.然后我們訪問下試，如圖3.

直接轉(zhuǎn)向了1.asp文件夾下了，這是怎么回事呢？這個(gè)是本文要解決的問題之一.問題很奇怪，按理說，都能訪問了，應(yīng)該可以正常登陸及使用呀.到網(wǎng)上搜索了下，沒有發(fā)現(xiàn)有這樣類似的問題出現(xiàn)，于是和群里討論了下，小組成員小浪給了我很大的啟發(fā)：他認(rèn)為既然都可以解析web木馬了，那出現(xiàn)不能登陸的問題應(yīng)該出現(xiàn)木馬的身上,從剛才的圖片可以看得出，木馬接收到的參數(shù)發(fā)生了變化，也就是自動(dòng)轉(zhuǎn)向了1.asp文件夾里，這是為什么呢？我們來看看木馬的參數(shù)是怎么接收的呢？我從一個(gè)大馬里找出了以下幾行代碼：
URL=Request.ServerVariables("URL")
ServerIP=Request.ServerVariables("LOCAL_ADDR")
Action=Request("Action")
最關(guān)鍵的是***句，接收到的參數(shù)是通過url來傳遞的，也就是說當(dāng)我們登陸的時(shí)候，服務(wù)器會解析1.asp（這里我也表達(dá)的不太清楚），所以無法驗(yàn)證的情況便出現(xiàn)了.因此為了解決這個(gè)問題，我們只需要把***句換成:
URL=Request.ServerVariables("PATH_INFO")
這樣，我們就可以順利的用大馬訪問了，如圖4.

這里我們就不得不提下path_info這個(gè)變量了它的功能就是呈現(xiàn)虛擬路徑了,也就是可以順利解析到dama.jpg下.不過從網(wǎng)上得到答案是，直接先訪問小馬就不會出現(xiàn)這個(gè)問題，如圖5

.這是因?yàn)樾●R的功能簡單，不涉及到復(fù)雜的路徑解析，不過我等小菜應(yīng)該本著學(xué)習(xí)的精神把更多的原理弄懂才是最要緊的.

二：對其它腳本文件解析的思考.

小菜貴在學(xué)習(xí)和舉一反三，可能我說的這個(gè)問題大牛們早就知道了，不過自己想出來的以及證明才是最重要的！不多說了，當(dāng)時(shí)我就想既然能解析xx.asp文件夾下的文件，那xx.aspx，xx.php等是不是會解析相應(yīng)的腳本文件，我的虛擬機(jī)可以解析aspx的馬，我們來試試，我這里就直接在IIS目錄下新建了個(gè)文件，然后訪問我的aspx文件，如圖6.

開始以為和asp大馬一樣要改下什么東西，可當(dāng)我把一個(gè)平常的aspx文件放上去的時(shí)候，也不能.(不過，后來證實(shí)確實(shí)不能解析xx.aspx下的，因?yàn)檫B正常木馬的aspx頁面都沒出來).那么xx.php呢？雖然我的虛擬機(jī)上沒有裝php的環(huán)境，但如果能解析的話，當(dāng)我訪問的時(shí)候，要么就全部把php源碼直接顯示出來，要么直接顯示下載，大家看圖，證明我的猜想是正確的，如圖7.