网络安全-IIS8.0-10.0漏洞复现和修复

1. cve-2015-1635：http.sys 远程代码执行漏洞

• 描述：攻击者可以通过发送特制的 http 请求利用 http.sys 漏洞在目标服务器上执行任意代码。
• 影响版本：iis 8.0、8.5 和 10.0。
• 利用方法：发送特制的请求到目标服务器，例如利用 range 头字段中的特制值。
• 修复方法：应用安全更新 ms15-034。

利用示例：

import requests

headers = {
    'range': 'bytes=0-18446744073709551615'
}

response = requests.get('http://victim.com', headers=headers)
print(response.status_code)

修复方法：

# windows 更新命令
wuauclt /detectnow /updatenow

2. cve-2017-7269：webdav 远程代码执行漏洞

• 描述：iis 的 webdav 服务存在漏洞，攻击者可以通过特制请求执行任意代码。
• 影响版本：iis 6.0 及以上版本，包括 8.5 和 10.0。
• 利用方法：发送特制的 webdav 请求。
• 修复方法：应用相关的安全更新。如果不使用 webdav，建议禁用它。

利用示例：

import requests

payload = "<?xml version=\"1.0\"?><propfind xmlns=\"dav:\"><prop><propname/></prop></propfind>"
headers = {
    'content-length': str(len(payload)),
    'content-type': 'text/xml'
}

response = requests.request('propfind', 'http://victim.com', headers=headers, data=payload)
print(response.status_code)

修复方法：

# 禁用 webdav 方法
<configuration>
   <system.webserver>
      <security>
         <requestfiltering>
            <verbs>
               <add verb="propfind" allowed="false" />
               <add verb="proppatch" allowed="false" />
               <add verb="mkcol" allowed="false" />
               <add verb="copy" allowed="false" />
               <add verb="move" allowed="false" />
               <add verb="lock" allowed="false" />
               <add verb="unlock" allowed="false" />
            </verbs>
         </requestfiltering>
      </security>
   </system.webserver>
</configuration>

3. cve-2019-0941：iis 身份验证绕过漏洞

• 描述：iis 10.0 在特定情况下处理身份验证时存在绕过漏洞，攻击者可以利用该漏洞绕过身份验证。
• 影响版本：iis 10.0。
• 利用方法：通过特制的请求利用身份验证处理中的漏洞。
• 修复方法：应用最新的安全更新。

修复方法：

# windows 更新命令
wuauclt /detectnow /updatenow

4. cve-2018-12188：iis 安全功能绕过漏洞

• 描述：iis 通过错误处理标头的方式使得攻击者可以绕过某些安全功能。
• 影响版本：iis 10.0。
• 利用方法：发送特制的请求来利用错误处理中的漏洞。
• 修复方法：应用最新的安全更新。

修复方法：

# windows 更新命令
wuauclt /detectnow /updatenow

综合防御措施

除了针对特定漏洞的修补，以下是一些综合的防御措施：

1. 保持系统和软件更新：定期检查并安装微软发布的所有安全更新。
2. 最小化攻击面：禁用不必要的 iis 功能和模块，例如 webdav，如果不使用的话。
3. 启用防火墙和入侵检测系统（ids）：配置防火墙规则，阻止不必要的端口和服务。使用 ids 监控和防范潜在的攻击。
4. 应用安全配置：确保 iis 的安全配置按照最佳实践进行，例如使用 ssl/tls 加密通信，设置严格的权限和访问控制。
5. 日志和监控：启用详细的日志记录，定期审查日志以检测和响应异常活动。