IIS - Internet Information Services
WhiteIntel は ダークウェブ で活動する検索エンジンで、盗難型マルウェア による 企業や顧客の侵害 をチェックするための 無料 機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃に対抗することです。
彼らのウェブサイトをチェックし、無料 でエンジンを試すことができます:
テスト可能な実行ファイルの拡張子:
asp
aspx
config
php
内部IPアドレスの漏洩
302を受け取る任意のIISサーバーで、Hostヘッダーを削除してHTTP/1.0を使用し、レスポンス内のLocationヘッダーが内部IPアドレスを指す可能性があります:
内部IPを開示するレスポンス:
.configファイルの実行
.configファイルをアップロードして、コードを実行することができます。その方法の1つは、ファイルの末尾にコードをHTMLコメント内に追加することです:ここから例をダウンロード
この脆弱性を悪用するための詳細やテクニックについては、こちらを参照してください。
IISディスカバリーブルートフォース
私が作成したリストをダウンロードしてください:
以下のリストの内容をマージして作成されました:
https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html https://github.com/digination/dirbuster-ng/blob/master/wordlists/vulns/iis.txt https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/aspx.txt https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt
拡張子を追加せずに使用してください。必要なファイルにはすでに追加されています。
パストラバーサル
ソースコードの漏洩
以下の完全な解説をチェックしてください:https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html
要約すると、アプリケーションのフォルダ内には、"assemblyIdentity"ファイルと"namespaces"への参照が含まれる複数のweb.configファイルがあります。この情報を使用すると、実行可能ファイルの場所を知ることができ、それらをダウンロードできます。 ダウンロードしたDllからは、新しい名前空間を見つけることができ、アクセスしてweb.configファイルを取得して新しい名前空間とassemblyIdentityを見つけることができます。 また、ファイルconnectionstrings.configとglobal.asaxには興味深い情報が含まれている場合があります。
.Net MVCアプリケーションでは、web.configファイルが、"assemblyIdentity" XMLタグを介してアプリケーションが依存する各バイナリファイルを指定する重要な役割を果たします。
バイナリファイルの探索
以下に、web.configファイルへのアクセス例が示されています:
このリクエストは、さまざまな設定や依存関係を明らかにします:
EntityFramework バージョン
web ページ、クライアント検証、JavaScript の AppSettings
認証とランタイムのための System.web 構成
System.webServer モジュールの設定
Microsoft.Owin、Newtonsoft.Json、System.Web.Mvc などの多くのライブラリのための Runtime アセンブリのバインディング
これらの設定は、/bin/WebGrease.dll のような特定のファイルがアプリケーションの /bin フォルダに存在することを示しています。
ルートディレクトリのファイル
/global.asax や**/connectionstrings.config**(機密性の高いパスワードが含まれる)など、ルートディレクトリにあるファイルは、アプリケーションの構成と動作に不可欠です。
名前空間と Web.Config
MVC アプリケーションでは、各ファイルでの繰り返し宣言を避けるために、特定の名前空間用の追加の web.config ファイル も定義されています。別の web.config をダウンロードするリクエストの例を示します:
DLLのダウンロード
カスタム名前空間の言及は、/binディレクトリに存在する "WebApplication1" というDLLを示しています。これに続いて、WebApplication1.dll をダウンロードするリクエストが表示されます:
これは、/binディレクトリにSystem.Web.Mvc.dllやSystem.Web.Optimization.dllなどの他の重要なDLLが存在している可能性を示しています。
DLLがWebApplication1.Areas.Mindedという名前空間をインポートするシナリオでは、攻撃者は**/area-name/Views/などの予測可能なパスに他のweb.configファイルが存在することを推測する可能性があります。これらのファイルには/binフォルダ内の他のDLLへの特定の構成と参照が含まれています。例えば、/Minded/Views/web.config**へのリクエストは、WebApplication1.AdditionalFeatures.dllという別のDLLの存在を示す構成と名前空間を明らかにする可能性があります。
一般的なファイル
こちらから
HTTPAPI 2.0 404 エラー
もし以下のようなエラーが表示された場合:
それはサーバーがHostヘッダー内に正しいドメイン名を受信しなかったことを意味します。 Webページにアクセスするためには、提供されたSSL証明書を確認して、そこにドメイン/サブドメイン名が見つかるかもしれません。見つからない場合は、正しいものを見つけるまでVHostsをブルートフォースする必要があります。
古いIISの脆弱性の調査価値
Microsoft IISチルダ文字“~”脆弱性/機能 – 短いファイル/フォルダ名の開示
この技術を使用して、発見された各フォルダ内のフォルダとファイルを列挙できます(基本認証が必要な場合でも)。 この技術の主な制限は、サーバーが脆弱である場合、各ファイル/フォルダの名前の最初の6文字とファイルの拡張子の最初の3文字までしか見つけることができないことです。
この脆弱性をテストするためにhttps://github.com/irsdl/IIS-ShortName-Scannerを使用できます:java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/
元の研究: https://soroush.secproject.com/downloadable/microsoft_iis_tilde_character_vulnerability_feature.pdf
Metasploitも使用できます:use scanner/http/iis_shortname_scanner
基本認証バイパス
基本認証(IIS 7.5)をバイパスして、次のようにアクセスを試みます:/admin:$i30:$INDEX_ALLOCATION/admin.php
または/admin::$INDEX_ALLOCATION/admin.php
この脆弱性と前述のものを組み合わせて、新しいフォルダを見つけて認証をバイパスすることができます。
ASP.NET Trace.AXDを有効にしたデバッグ
ASP.NETにはデバッグモードがあり、そのファイルはtrace.axd
と呼ばれます。
これは、一定期間にわたってアプリケーションに対して行われたすべてのリクエストの非常に詳細なログを保持します。
この情報には、リモートクライアントのIP、セッションID、すべてのリクエストとレスポンスのクッキー、物理パス、ソースコード情報、そして潜在的にはユーザー名とパスワードさえ含まれています。
https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/
ASPXAUTH Cookie
ASPXAUTHは次の情報を使用します:
validationKey
(文字列):署名検証に使用する16進数エンコードされたキー。decryptionMethod
(文字列):(デフォルトは“AES”)。decryptionIV
(文字列):16進数エンコードされた初期化ベクトル(ゼロのベクトルがデフォルト)。decryptionKey
(文字列):復号に使用する16進数エンコードされたキー。
ただし、これらのパラメータのデフォルト値を使用し、ユーザーのメールアドレスをクッキーとして使用する人もいます。したがって、攻撃対象のサーバーで偽のユーザーを作成し、そのサーバーでASPXAUTHクッキーを使用してユーザーをなりすますことができるかもしれません。 この攻撃は、この解説で成功しました。
キャッシュされたパスワードを使用したIIS認証バイパス(CVE-2022-30209)
完全なレポートはこちら:コードにあるバグは、ユーザーが提供したパスワードを適切にチェックしなかったため、パスワードハッシュがすでにキャッシュにあるキーに一致する攻撃者はそのユーザーとしてログインできるようになります。
WhiteIntelは、ダークウェブを活用した検索エンジンで、企業やその顧客がスティーラーマルウェアによって侵害されていないかをチェックする無料の機能を提供しています。
WhiteIntelの主な目標は、情報窃取マルウェアによるアカウント乗っ取りやランサムウェア攻撃と戦うことです。
彼らのウェブサイトをチェックして、無料でエンジンを試すことができます:
Last updated