网络安全-IIS短文件名枚举漏洞

已于 2023-04-03 11:21:20 修改
阅读量2.8k 收藏 4
点赞数
CC 4.0 BY-SA版权
文章标签: web安全 安全 网络 信息与通信
于 2023-04-03 10:59:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lc545205/article/details/129924748
本文介绍了IIS短文件名枚举漏洞,该漏洞可能导致服务器敏感信息泄露,包括后台地址和备份文件等。提供了IIS-ShortName-Scanner工具的下载链接,包括Python和Java两个版本,并详细阐述了如何配置扫描工具环境,包括设置JAVA_HOME、Path、CLASSPATH等系统变量。同时,给出了扫描工具的使用方法,无论是Java版本还是Python版本,只需输入目标地址即可进行扫描。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

系统存在IIS短文件名枚举漏洞。该漏洞会泄露部分服务器敏感文件及目录名,如后台地址、备份文件等

1、IIS-ShortName-Scanner配套工具

IIS-ShortName-Scanner下载链接:https://pan.baidu.com/s/1yxK_goT5XJYc3yVcGUCDxw?pwd=5lcq 提取码:5lcq

python版本的需要安装python27环境:https://pan.baidu.com/s/1yxK_goT5XJYc3yVcGUCDxw 提取码:h2or

java版本的需要安装jdk环境:https://pan.baidu.com/s/1autV8vdpZiiTCXBi1WizmQ?pwd=jl58 提取码:jl58

2、配置扫描工具环境

(1)、java版本的需要安装jdk环境
①在系统变量里配置JAVA_HOME,变量值为jdk的安装目录
在这里插入图片描述
②在系统变量里配置Path 值为:<

最低0.47元/天 解锁文章
嘉惠永铭
关注
网络安全 | 渗透工具】IIS 文件名枚举工具—shortscan安装使用教程
等风来
09-09 2180
ShortScan 是一种用于在 Microsoft IIS (Internet Information Services) Web 服务器上进行文件名枚举的工具。该工具可以帮助攻击者利用 IIS文件名处理特性,通过预测性扫描枚举服务器上的文件和目录名称。
IIS文件名漏洞利用工具
11-07
IIS文件名漏洞利用工具,直接一键利用,省去了麻烦。
IIS文件猜解
浅笑996的博客
11-18 3337
1.IIS文件漏洞 Microsoft IIS 文件/文件夹名称信息泄漏最开始由Vulnerability Research Team(漏洞研究团队)的Soroush Dalili在2010年8月1日发现,并于2010年8月3日通知供应商(微软公司)。微软公司分别于2010年12月1日和2011年1月4日给予答复下个版本修复。2012年6月29日,此漏洞公开披露(中危)。 此漏洞实际是由HTT...
IISPutScanner增强版:深度检测IIS服务器配置,确保网络安全
最新发布
gitblog_06711的博客
05-22 931
IISPutScanner增强版:深度检测IIS服务器配置,确保网络安全 在数字化时代,服务器安全成为企业及个人用户关注的焦点。IISPutScanner增强版作为一款专业的安全检测工具,以其独特的技术优势,在网络安全领域独树一帜。 项目介绍 IISPutScanner增强版是一款专为检测IIS服务器配置问题而设计的工具。它能够深入分析IIS服务器的配置,发现潜在的安全隐患,为用户提供专业的安全评...
Microsoft IIS 文件名/目录名 枚举漏洞修复步骤
hzfw2008的博客
07-30 1万+
近期网站系统被扫描出漏洞文件名/目录名 枚举漏洞Microsoft IIS tilde directory enumeration 危害级别:轻微 IIS文件名泄露漏洞 WASC Threat Classification 描述: Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。 Internet Information Serv...
IIS文件名漏洞原理以及修复方法
it知识分享 free for nothing..
04-01 3811
IIS文件名漏洞原理以及修复方法
IIS文件名漏洞
94小菜
10-25 5398
目录简介实验漏洞利用局限性修复建议参考链接 简介 IIS简介 Internet Information Services(IIS,以前称为Internet Information Server)互联网信息服务是Microsoft公司提供的可扩展Web服务器,支持HTTP,HTTP/2,HTTPS,FTP,FTPS,SMTP和NNTP等。起初用于Windows NT系列,随后内置在Windows 2000、Windows XP Professional、Windows Server 2003和后续版本一起发
IIS文件名暴力枚举漏洞利用工具(IIS shortname Scanner)
热门推荐
专注企业信息安全-sec
11-23 1万+
上文我已经介绍了IIS文件名暴力枚举漏洞的成因和利用。 这里只是发出昨天写的脚本。 脚本可以测试对应的URL是否存在漏洞,若存在漏洞,则猜解文件夹下所有的文件名:包括文件和文件名。 网上早前已经有公开的工具了:https://code.google.com/p/iis-shortname-scanner-poc/ 我没有参考他的代码。自己用python实现了一个漏洞利用脚本。简单测试,...
IIS文件名漏洞利用工具.zip
05-12
标题中的"IIS文件名漏洞利用工具"指向的是一个针对微软Internet Information Services(IIS)服务器的安全漏洞IIS是Windows操作系统中广泛使用的Web服务器,它处理HTTP、HTTPS和其他网络协议,为用户提供网页...
IIS文件名漏洞复现图文详解
09-29
IIS文件名漏洞是一种信息安全问题,该漏洞允许攻击者通过特定技术手段,获取服务器上不应公开的文件和文件夹信息。在了解和防御这种漏洞之前,首先需要掌握相关的概念和技术背景。 首先,IIS是微软公司的Internet...
IIS文件名泄漏漏洞利用工具下载
03-05
IIS中存在一种安全漏洞,称为“文件名泄漏漏洞”,它允许攻击者通过特定的请求来揭示系统中的文件名,这可能导致敏感信息的泄露,进一步可能被用于入侵系统的其他部分。 ### 漏洞原理 IIS支持DOS时代的8.3...
iis文件名漏洞
09-07
文件名漏洞的详解,有助于理解这个漏洞,从而达到对漏洞的防范漏洞利用渗透测试你的目的,文档主要是为了辅助完成
关于 IIS文件名泄露漏洞
zcfeng
11-11 7395
IIS文件名漏洞修补
漏洞修复:IIS文件名泄露漏洞(OPTIONS)
qq_42782011的博客
07-12 2244
*漏洞描述:**Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。方案2.如果你的web环境不需要asp.net的支持你可以进入Internet 信息服务(IIS)管理器 — Web 服务扩展 - ASP.NET 选择禁止此功能。**解决办法:**三种修复方案只有第二和第三种能彻底修复该问题,可以联系空间提供商协助修改.**风险级别:**高风险。
IIS文件名漏洞修复
生活在继续
10-30 3143
微软的URLScan工具是最适合的一个轻量级工具,关键它是免费的,而且安装、配置非常简单。安装完毕之后,在需要做URL过滤的站点的属性中,添加一个ISAPI筛选器,dll路径位于:C:WINDOWSsystem32inetsrvurlscan。CMD输入regedit回车,在注册表中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem,将其中的 NtfsDisable8dot3NameCreation这一项的值设为 1;
浅谈“IIS文件名泄露”
→_→
07-17 3179
一:漏洞名称: IIS文件名泄露 描述: Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络 服务器根目录中的文件。 危害:攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。 (注:此漏洞实际是由HTTP请求中旧DOS 8.3.
【中间件】IIS文件名枚举漏洞
weixin_30235225的博客
03-08 1039
1.1.1 漏洞描述 为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3 文件名。 在Windows下查看对应的文件名,可以使用命令 dir /x 只有前六位字符直接显示,后续字符用~1指代。其中数字1还可以递增,如果存在多个文件名类似的文件(名称前6位必须相同,且后缀名前3位必须相同)。后缀名最长只有3位,多余的被截断。...
IIS文件名泄漏漏洞:Java工具扫描下载
IIS文件名泄漏漏洞是一种Microsoft的Internet Information Services (IIS) 服务器软件相关联的安全漏洞,它允许攻击者通过某些特定的方式获取网站目录和文件信息。理解这种漏洞的工作原理以及如何利用或防范它,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值