短文件名漏洞:
为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3 短文件名。
比方说,假如我在我存小片片(划掉)存工具的E盘里创立了一个名为abcdefghijklmnopgrstuvwxyz.avi(某讯阻拦这个亲切的拓展名,改成全角字符才能打出来)的文件
用dir? /x命令查看
OK可以看到他生成了一个短文件名ABCDEF~1.AVI(某讯阻拦这个亲切的拓展名,改成全角字符才能打出来),经过观察可以发现,短文件名只显示前六位。
短文件名漏洞存在要求:
短文件名漏洞需要两个要求,第一网站用aspx,第二是windows环境。
其中,假如为容器为apache且运行在windows下,遇到可以下载的文件,并且文件名还很长,那么无需猜解长文件名,直接用短文件名即可以下载了。
一想到可以用这个来日apache的某国大片网,免费下载付费大电影,想想都刺激~(咳咳,言归正传)
短文件名漏洞验证:
首先杀掉几个网管祭出payload:
/*~1****/a.aspx
/l1j1e*~1****/a.aspx
假如用第一个payload:/*~1****/a.aspx显示的是404.用第二个payload:/l1j1e*~1****/a.aspx显示的是400比方“错误的请求Bad Request”之类的话那么久确诊无误可以上他了
接下来我们猜他有没有存在一个开头是a的文件,payload:/a*~1****/a.aspx
OK,返回404,存在a开头的文件,继续以a开头abcde往下猜,payload:/aa*~1****/a.aspx
没有开头为aa的文件,试试ab
存在ab开头的文件,继续以ab开头abcde往下猜,payload:/aba*~1****/a.aspx
就这样慢慢猜猜完所有a开头的猜b,而后cbdefg,而后猜数字猜数字+字母,猜完为止。
接下来要考虑一个严肃的问题,怎样判断他是不是文件夹呢?
比方说我们猜到了/access~1****/a.aspx
只要要删掉那四个*就ok啦。payload:/access~1/a.aspx
假如还是404,那就说明这是个文件夹
接下来,光知道是文件没卵用,还要知道是什么文件接下来猜拓展名.payload:/abcdef~1*a**/a.apsx
科普:拓展名就是avi,mpg,mov,qt,rar,zip,jpg之类的后缀,比方说我文章里上传的图片是jpg格式的
比方说我们找到一个开头为output的文件,而后我们提交/output~1*a**/a.aspx
好的返回400,不存在拓展名为a的文件(可以判断没avi格式的小片片)
接下来把a换成b换成c换成d……直到换到返回404为止
拓展名第一个字母是z,接下来继续猜第二个字母。payload:/output~1*za*/a.aspx
就这样一直猜,直到猜完后面的星号
这时你会发现只能猜拓展名的三个字母假如文件是html,那只能猜到htm
漏洞意义:
我bb这么多,这个漏洞的意义何在?
1.能猜后端地址
2.能猜敏感文件
3.说不定能直接下载这个文件
漏洞缺陷:
1.一般来说必需是IIS+apsx
2.文件名只能猜前六位,拓展名只能猜前三位
3.文件名很短的话是没有短文件名的
poc:
直接发poc会被阻拦,某讯一天到晚意淫有人要从部落里干他,所以代码贴出来的话会被ban,文章发不出去,大家想要利用工具的话可以私下里找我,工具是python2写的,环境请自备,有对技术有兴趣的也可以找我来聊聊,我随时欢迎~~
文章技术含量不高,大佬勿喷,码字贴图不易,如有不足还请大家多多包涵
