Microsoft IIs tilde directory enumeration

最新推荐文章于 2021-09-13 11:40:33 发布

转载最新推荐文章于 2021-09-13 11:40:33 发布 · 1.4k 阅读

1 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/outline/p/4994849.html

本文介绍了一个IIS短文件名列举漏洞的情况，并提供了一个用于检测该漏洞的工具链接。通过扫描，可以发现存在大量返回404的目录，实际利用价值有限。

漏洞标题：

iis 短文件名列举漏洞

检测：

https://code.google.com/p/iis-shortname-scanner-poc/

查看扫描出来的目录，全是404 ，比较鸡肋。

。

转载于:https://www.cnblogs.com/outline/p/4994849.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30348519

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Microsoft IIS短文件名漏洞验证测试

afei001

12-23

2200

目录 1.前言 2.漏洞原理 3.Microsoft IIS扫描器 4.漏洞验证 5.漏洞修复 1.前言今天使用AWVS对目标网站进行漏扫时，发现了Microsoft IIS tilde directory enumeration漏洞，即常说的Microsoft IIS短文件名漏洞。 afei 短文件漏洞请参考笔记：短文件名漏洞介绍及利用漏洞等级：获取非敏感信息文件：中危；可获取敏感信息(账号密码、数据库...)：高危。 ...

安全渗透学习小结

wnma3mz的博客

10-17

6444

安全渗透学习小结本文用以记录学习过的一些安全渗透知识。 Google Hacker 参考文章：google hacker inurl: 用于搜索网页上包含的URL. 这个语法对寻找网页上的搜索,帮助之类的很有用. intext: 只搜索网页部分中包含的文字(也就是忽略了标题,URL等的文字). site: 可以限制你搜索范围的域名. filetype: 搜索文件的后缀或者扩展名 intitle:...

参与评论您还未登录，请先登录后发表或查看评论

Microsoft IIS tilde directory enumeration POC

万丈⾼楼平地起，勿在浮沙筑⾼台学艺不精的安全菜鸡，改行回家养猪了，对博客有疑问欢迎留言，看到一定回

04-25

1646

https://code.google.com/p/iis-shortname-scanner-poc/ https://github.com/lijiejie/IIS_shortname_Scanner 手工测试 http://www.target.com/~1***/a.aspx http://www.target.com/l1j1e*~1****/a.aspx 第一个为404，第二个为400说明存在此漏洞

Microsoft IIS tilde directory enumeration 可能的解决方法之一

tinyleaf的博客

04-24

4747

参考网址： https://www.cnblogs.com/cdemo/p/4581515.html 解决方式： 1：IIS6.1版本以下针对IIS添加微软URLScan ISAPI筛选器，具体过程请自我搜索！ 2：针对IIS6.1以上版本，由于内部默认集成筛选器过滤。请在IIS服务器跟节点功能视图中找到请求筛选 URL 和查询字符串中添加 ~ * 等字符第一个...

IIS tilde directory enumeration 漏洞以及解决方案

jcoiwenwfkowe的博客

06-10

565

IIS tilde directory enumeration 漏洞以及解决方案

Microsoft IIS 短文件名/目录名枚举漏洞

收集盒 Book box

09-16

7092

Internet Information Services（IIS，互联网信息服务）是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 Microsoft IIS在实现上存在文件枚举漏洞，攻击者可利用此漏洞枚举网络服务器根目录中的文件 IIS Short File/Folder Name Disclosure by using tilde “~” character

Microsoft IIS 短文件名/目录名枚举漏洞修复步骤

热门推荐

hzfw2008的博客

07-30

1万+

近期网站系统被扫描出漏洞：短文件名/目录名枚举漏洞Microsoft IIS tilde directory enumeration 危害级别：轻微 IIS短文件名泄露漏洞 WASC Threat Classification 描述： Microsoft IIS在实现上存在文件枚举漏洞，攻击者可利用此漏洞枚举网络服务器根目录中的文件。 Internet Information Serv...

RS232通讯程序代码

04-13

RS-232C 标准（协议）的全称是 EIA-RS-232C 标准，其中EIA (Electronic Industry Association）代表美国电子工业协会，RS（recommended standard）代表推荐标准，232是标识号，C代表RS232的最新一次修改（1969），在...

iis 短文件名泄露验证工具

06-25

IIS（Internet Information Services）是微软公司提供的一个用于运行Web应用程序的服务器软件。在IIS中，有时会存在短文件名泄露的安全问题，这可能导致敏感信息的暴露，从而影响系统的安全性。本文将深入探讨IIS短...

tilde-开源

05-17

Tilde是一种网络语言，一种网络服务器和一种内容管理工具（CMT）。 Web语言是PHP和VBscript的替代方法，但有一些明显的区别。 Tilde是一种真正的嵌入式语言，在html和代码之间没有任何区别

IIS短文件名泄露解决

03-18

windows下通过~表示短文件名，如：test~1，在IIs中可通过短文件名的方式判断目标文件是否存在，从而降低文件名暴力猜解的难度。解决此问题安装这个到服务器，然后重启服务器即刻解决

IIS短文件名漏洞利用工具

10-22

UrlScan3.1_X86_X64工具及使用文档

11-29

UrlScan3.1_X86_X64工具及使用文档任何一种使用数据库web程序（当然，也包括桌面程序）都有被SQL注入的风险。防止被SQL注入，最基本的方法是在代码级别就要阻止这种可能，这个网上讲的很多，我就不多说了。不过如果你拿到的是一个已经完工的产品，这个时候该如何解决呢？我介绍几种对于ASP和ASP.NET有效的防止SQL注入的方案，而且是免费的。

IIS短目录名枚举漏洞修复

iokla

09-13

3031

1.关闭NTFS 8.3文件格式的支持。该功能默认是开启的，对于大多数用户来说无需开启。修改注册表项：（重启服务器生效）HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation值为1。 2.执行DOS命令， fsutil behavior set disable8dot3 1 3.如果你的web环境不需要asp.net的支持你可以进入Internet 信息服务(IIS)管理器 — Web 服务扩展 - A

深入浅出之IIS短文件名漏洞

L_lemo004的博客

07-09

4879

一、什么是IIS Internet Information Services（IIS，以前称为Internet Information Server）互联网信息服务是Microsoft公司提供的可扩展Web服务器，支持HTTP，HTTP/2，HTTPS，FTP，FTPS，SMTP和NNTP等。起初用于Windows NT系列，随后内置在Windows 2000、Windows XP Profe...

IIS短文件名泄露漏洞验证

无名小菜的博客

06-05

1万+

在存在漏洞的页面进行抓包，在URL中提交a字母加通配符，若返回状态码404，说明文件存在，如下图:在URL中提交3字母加通配符，返回状态码400，说明文件不存在，如下图在用burpsuit抓包时有时候会抓到带有cookie的字段的数据包，但是当构造发送包的时候需要将cookie字段删掉，若不删掉会一直返回404错误不会返回400. 攻击者可利用此漏洞枚举进行对网络服务器根...

IIS 文件枚举解析漏洞

煜铭2011

10-08

8632

0x01 介绍 1 Microsoft Internet信息服务（IIS）是Microsoft Windows自带的一个网络信息服务器。IIS7/7.5当以CGI的方式运行PHP时，在处理PHP文件路径的解析时存在问题。如果网站允许上传文件，而且上传文件路径可得到，远程攻击者可以利用此漏洞上传包含恶意代码的文件并得到执行，实现以Web进程权限执行任意命令。攻击者上传允许上传的文...

tilde