IIS 短命名文件泄露

漏洞简介

为了兼容16位MS-DOS程序，Windows为文件名较长的文件（和文件夹）生成了对应的windows 8.3 短文件名

Windows下使用dir /x命令查看对应的短文件名

1.png

短文件名特征：

1. 只有前六位字符直接显示，后续字符用~1指代。其中数字1还可以递增，如果存在多个文件名类似的文件（名称前6位必须相同，且后缀名前3位必须相同）。
2. 后缀名最长只有3位，多余的被截断。
   可以在启用.net的IIS下暴力列举短文件名，

漏洞成因：

访问构造的某个存在的短文件名，会返回 404
访问构造的某个不存在的短文件名，会返回 400

漏洞探测：

漏洞的利用，需要使用到通配符。在windows中，可以匹配n个字符，n可以为0. 判断某站点是否存在IIS短文件名暴力破解，构造payload，分别访问如下两个URL:
A：www.test.com/~1****/a.aspx
B：www.test.com/wtest~1****/a.aspx
访问 A 返回 404，访问 B 返回 400，则站点存在漏洞

目录猜解

1. 访问 www.test.com/a*~1****/a.aspx
   如果返回 404，则证明存在以 a 开头的文件或文件夹
   以此来猜解出六位字符
2. 例猜解完结果为：www.test.com/abcdef~1****/a.aspx
   如果以 abcdef 开头的是一个文件夹，则访问 www.test.com/abcdef~1/a.aspx 返回 404
   如果以 abcdef 开头的是一个文件，则继续猜解 www.test.com/abcdef~1g**/a.aspx
   继续猜解 g 位置的字符，返回 404 则代表存在。以此猜解完后缀名中的三个字符。

漏洞局限性

1. 只能猜解前六位，以及扩展名的前3位。
2. 名称较短的文件是没有相应的短文件名的。
3. 需要 IIS 和 .net 两个条件都满足。

漏洞修复

1. 通用有效方法
   禁用windows系统中的短文件名功能。
   打开注册表并打开此目录 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
   修改 NtfsDisable8dot3NameCreation 的值为1 。
   修改完成后，需要重启系统生效。
2. 简单有效方法：CMD命令

• Windows Server 2008 R2
  查询是否开启短文件名功能：fsutil 8dot3name query
  关闭该功能：fsutil 8dot3name set 1
• Windows Server 2003
  关闭该功能：fsutil behavior set disable8dot3 1

3. 手动验证
   新建文件夹并创建几个文件，打开CMD进入该文件夹呢执行dir /x 检测，看不到有显示短文件名则成功。

 注: 1. Windows Server 2003修改后需要重启服务器生效！
     2. 已存在的文件短文件名不会取消，只对以后创建的文件有效！
     3. WEB站点需要将内容拷贝到另一个位置，
        如D:\www到D:\www.back，然后删除原文件夹D:\www，再重命名D:\www.back到D:\www。
        如果不重新复制，已经存在的短文件名则是不会消失的。

参考链接：https://segmentfault.com/a/1190000006225568