别再让服务器裸奔!手把手教你排查并修复IIS 6.x/7.x的5个高危漏洞(附修复脚本)
IIS服务器安全加固实战:5个高危漏洞排查与修复指南
1. 漏洞背景与排查思路
Windows服务器管理员和安全工程师在日常工作中,经常会遇到IIS中间件的安全挑战。作为微软生态中广泛使用的Web服务器,IIS 6.x和7.x版本中存在多个已知高危漏洞,可能成为攻击者入侵的突破口。本文将聚焦五个最具破坏性的漏洞,提供从检测到修复的完整解决方案。
为什么这些漏洞如此危险?因为它们往往不需要复杂攻击手段就能利用,比如:
- 通过简单的文件上传绕过执行恶意代码
- 利用解析特性获取服务器控制权
- 远程读取系统内存导致数据泄露
- 通过PUT方法写入恶意文件
- 枚举短文件名获取敏感信息路径
排查这些漏洞需要系统性的方法:
- 版本确认:首先确定服务器运行的IIS具体版本
- 功能检查:确认是否启用了WebDAV等扩展功能
- 权限审计:检查各目录的读写执行权限设置
- 日志分析:查看异常请求模式和频率
- 工具辅助:使用专业扫描工具进行深度检测
2. IIS 6.x/7.x解析漏洞深度解析
2.1 IIS 6.x解析漏洞
这个版本的解析机制存在三个关键问题:
分号截断漏洞:
- 攻击者可上传
malicious.asp;.jpg文件 - 服务器只识别
.asp部分,执行恶意代码 - 示例攻击路径:
/uploads/malicious.asp;.jpg
- 攻击者可上传
目录解析漏洞:
- 任何放置在
/malicious.asp/目录下的文件 - 无论扩展名为何,都会被当作ASP脚本执行
- 示例:
/malicious.asp/innocent.jpg
- 任何放置在
非常规扩展名漏洞:
- 除
.asp外,以下扩展名也会被解析执行:.asa.cdx.cer
- 除
修复方案:
# 禁用非常规扩展名的脚本执行 Set-WebConfigurationProperty -Filter /system.webServer/handlers -Name accessPolicy -Value Read,Script # 限制上传目录权限 icacls "C:\inetpub\wwwroot\uploads" /deny "IIS_IUSRS:(OI)(CI)(M,WDAC,WO,DE,DC,AD,RA)"2.2 IIS 7.x解析漏洞
与6.x版本不同,7.x的漏洞表现为:
- 在文件路径后添加特定后缀可改变解析方式
- 例如:
/real.jpg/malicious.php会被当作PHP执行 - 需要FastCGI配置不当作为前置条件
修复步骤:
- 修改php.ini配置:
cgi.fix_pathinfo=0 - 重启PHP-CGI服务
- 验证修复:
应返回403而非200状态码curl -I http://yourserver.com/test.jpg/malicious.php
3. HTTP.SYS远程代码执行漏洞(MS15-034)
这个内核级漏洞影响范围极广,可导致:
- 内存数据泄露
- 系统崩溃(蓝屏)
- 远程代码执行
检测方法:
使用curl发送特殊构造的请求:
curl http://yourserver.com -H "Host: yourserver.com" -H "Range: bytes=0-18446744073709551615"若返回416状态码,则存在漏洞。
修复方案:
- 立即安装微软官方补丁:
KB3042553 (Windows 7/2008 R2) KB3042553 (Windows 8/2012) KB3042553 (Windows 8.1/2012 R2) - 验证修复:
应显示补丁已安装Get-HotFix -Id KB3042553
4. IIS PUT文件写入漏洞
当服务器满足以下条件时存在风险:
- 启用了WebDAV扩展
- 网站目录具有写入权限
攻击示例:
- 使用Burp Suite拦截请求
- 将GET改为OPTIONS方法,确认WebDAV支持的方法
- 发送PUT请求创建文件:
PUT /malicious.txt HTTP/1.1 Host: yourserver.com Content-Length: 28 This is malicious content...
完整修复方案:
- 禁用WebDAV:
Disable-WindowsOptionalFeature -Online -FeatureName IIS-WebDAV - 移除写入权限:
Set-WebConfigurationProperty -Filter /system.webServer/security/requestFiltering -Name allowDoubleEscaping -Value False - 配置请求过滤规则:
<security> <requestFiltering> <verbs allowUnlisted="false"> <add verb="PUT" allowed="false"/> </verbs> </requestFiltering> </security>
5. 短文件名枚举漏洞
IIS自动生成的8.3格式短文件名可能泄露敏感信息:
| 完整文件名 | 短文件名 | 风险 |
|---|---|---|
| backup2023.zip | BACKUP~1.ZIP | 暴露备份文件 |
| admin_login.asp | ADMIN_~1.ASP | 暴露管理后台 |
检测方法:
for i in {A..Z}; do curl -s -o /dev/null -w "%{http_code}" http://yourserver.com/$i*~1.* done返回404表示存在,400表示不存在。
修复方案:
- 禁用8.3文件名生成:
fsutil behavior set disable8dot3 1 - 重启服务器生效
- 对现有短文件名处理:
Get-ChildItem -Recurse | Where-Object {$_.Name -match "~"} | Rename-Item -NewName {$_.Name -replace "~.*$",""}
6. 自动化安全加固脚本
以下PowerShell脚本可一键修复多个漏洞:
# IIS安全加固脚本 param( [string]$WebsiteName = "Default Web Site" ) # 1. 解析漏洞修复 Set-WebConfigurationProperty -Filter /system.webServer/handlers -Name accessPolicy -Value Read,Script Set-WebConfigurationProperty -Filter /system.webServer/security/requestFiltering -Name allowDoubleEscaping -Value False # 2. 禁用WebDAV Disable-WindowsOptionalFeature -Online -FeatureName IIS-WebDAV -NoRestart # 3. 限制上传目录权限 $uploadPath = "C:\inetpub\wwwroot\uploads" if (Test-Path $uploadPath) { icacls $uploadPath /deny "IIS_IUSRS:(OI)(CI)(M,WDAC,WO,DE,DC,AD,RA)" } # 4. 禁用8.3文件名 fsutil behavior set disable8dot3 1 # 5. 应用所有更改 iisreset /restart Write-Host "安全加固完成,建议立即进行漏洞扫描验证。" -ForegroundColor Green使用说明:
- 保存为
Secure-IIS.ps1 - 以管理员身份运行:
.\Secure-IIS.ps1 -WebsiteName "您的网站名称" - 根据实际环境调整
$uploadPath变量
7. 加固后的验证与监控
完成修复后,建议建立持续监控机制:
漏洞扫描验证:
- 使用Nessus或OpenVAS进行深度扫描
- 重点关注HTTP.SYS和解析相关漏洞
日志监控策略:
- 监控IIS日志中的异常请求模式
- 重点关注以下特征:
- 包含
;或~的URL - PUT/OPTIONS方法请求
- 异常的Range头
- 包含
性能基线对比:
指标 加固前 加固后 允许偏差 CPU使用率 30% 32% ±5% 内存占用 1.2GB 1.3GB ±10% 请求响应时间 120ms 130ms ±15% 自动化监控脚本示例:
# 监控异常请求 $logPath = "C:\inetpub\logs\LogFiles\W3SVC1" $keywords = @(";", "~1", "PUT", "OPTIONS", "Range:") Get-ChildItem $logPath -Filter "*.log" | ForEach-Object { $content = Get-Content $_.FullName $keywords | ForEach-Object { if ($content -match $_) { Send-MailMessage -From "alert@yourdomain.com" -To "admin@yourdomain.com" -Subject "IIS异常请求警报" -Body "发现可疑请求: $_" } } }
在实际运维中,我们遇到过因忽略短文件名漏洞导致备份文件被下载的案例。攻击者通过枚举获取WEB_CON~1.ZIP后,成功下载了完整的WEB_CONFIG_BACKUP.zip,其中包含数据库连接字符串等敏感信息。这提醒我们,看似低危的漏洞也可能成为入侵链的关键环节。