正文部分

原文作者：

https://medium.com/@omarahmed_13016

根据原文作者和自己的理解进行编写~~

漏洞总结

1.当遇到iis欢迎页面的时候，我们可以尝试对iis的nday进行测试，可以尝试一下iis的短文件漏洞，put文件上传漏洞等等

https://xz.aliyun.com/t/6783?time__1311=n4%2BxnD0Dg7GQ0%3DDkDuQxlhjmHqWuFhGELdbTD

2.当网站存在iis的短文件漏洞的时候，我们可以利用这个漏洞去fuzz到：网站文件夹或者文件的前6个，以及后缀名的前三个，在此基础上，再利用收集到的东西进行fuzz，从而获取到完整的文件名称，或者隐藏的接口，从而实现漏洞的进一步利用，也可以利用还原出来的特征文件名去搜索源代码，进行审计，获取更多的漏洞！

IIS深入浅出之短文件漏洞知多少 - FreeBuf网络安全行业门户

IIS欢迎页面

iis短文件漏洞的产生原因和原理

https://www.jb51.net/article/166405.htm

简单来说：

1. 由于iis中间件可以使用~进行访问，同时在本地为了window为了兼顾之前低位数的计算机，对于长的文件名，存在短文件名称

dir /x

2. 短文件名称有固定的范围，他的长度很短，只有小于6个字，大于6个的名称后面会使用~进行忽略，这就导致其很容易被遍历出来 3. 有因为在iis中，存在和不存在存在明显的区别，所以可以利用该特点去进行短文件名称的猜测

注意：不只有这种测试的方法，这个还跟发送请求的方法有关高版本的可能需要使用。OPTION等请求方法进行探测！！

404,说明目标存在该短文件名

一个不存在的短文件名,返回”Bad Request(400)”,说明目标不存在该短文件名

4. 获取到短文件后，再进行fuzz获取到完整的路径

如何测试

1. 发现iis短文件漏洞

然后我在模糊测试之前使用了 IIS-ShortName-Scanner，它表明这个目标容易受到iis短文件名的影响。

找到这些文件后，使用 ffuf 尝试查找这些文件，我发现其中一个文件夹是 EVOLUTION！然后我再次运行该工具，以此类推，直到我终于到达这条路径

2.利用获取到的完整路径，获取源码

但在继续之前，我想了想也许这个网络聊天是开源的，是吗？事实证明是！

我的第一印象是，如果它是 10 年前创建的，他们当时不知道安全意味着什么，对吧？在深入研究源代码时，我发现了以下代码段：

https://github.com/eStream/eStreamChat/blob/2417a12c0999609e3feedbf5281d07393b126c23/eStreamChat/Thumbnail.ashx.cs

查看源，在本例中是 img 参数，它采用参数 “img” 并根据其值以 2 种不同的方式解释它，如果它在该参数的值中找到 UserFiles，它将尝试直接从服务器 （LFI） 查询它，这可以使用路径遍历轻松绕过， 用户文件/../wheredoyouwannago 在第二种情况下，它将代表服务器向您:)指定的 URL 发出请求。但是，通过分析，我们可以发现响应并不是直接返回的，但实际上它进入了 ResizeImage 函数，遗憾的是，该函数不接受我们尝试返回的数据类型，除非它是图像。

这样我们就可以在服务器上过滤图像，或者通过简单地点击该端点来执行盲 SSRF

在我们尝试 本地文件读取 时，事实证明它不需要指定 UserData 路径：

工具推荐

IIS-ShortName-Scanne

这个就是原文作者使用的工具

GitHub - irsdl/IIS-ShortName-Scanner: latest version of scanners for IIS short filename (8.3) disclosure vulnerability^[4]

shortscan

这个是我很推荐的工具，他不仅会将短路径找出来，也会自动的对短路径进行fuzz，更加的省事！！

bitquark/shortscan: An IIS short filename enumeration tool (github.com)

原文始发于微信公众号（Ting丶的安全笔记）：【海外SRC赏金挖掘】IIS欢迎页面到SSRF拿下美金！（IIS默认页面如何测试）