羞辱 IIS 服务器以获得乐趣和牢狱之灾

为了乐趣和牢狱之灾而羞辱 iis 服务器 2026 年 3 月 18 日·阅读 13 分钟 我的一位朋友曾经告诉我：如果您发现 IIS 蓝屏，请不要就此止步；请继续阅读。一定有什么东西。是的，他是对的。 IIS 初始页面并不是死胡同。在那个蓝色窗口后面坐落着 www 上最常配置错误的网络服务器之一，它恳求您更深入地了解。那么，让我向您介绍一下我在 bug 奖励期间如何处理 IIS 目标：目录 psst、psst、IIS 服务器，你在哪里？ shodan google dorking active tech 指纹识别 好吧，我找到了一个 IIS 服务器。现在怎么办？内部 IP 泄露 pwn 时间核心模板：自动化无聊的东西 HTTPAPI 2.0 死胡同不是 IIS 波浪线枚举：不断给予的礼物 使用 LLM github dorks 来解析短名称 使用 BigQuery 解析短名称 通过紧缩模糊测试暴力破解其余部分：IIS 特定的单词列表很重要 web.config：王国路径遍历 web.config bin 目录的密钥 通过无 cookie 会话反向暴露 DLL代理路径混淆 通过 NTFS 绕过身份验证 黑客 文件上传技巧 通过 HPP 绕过 WAF psst、psst、IIS 服务器，你在哪里？以下是我用来查找 IIS 服务器的一些技术。 shodan 在接触目标之前，先看看 Shodan 已经知道了什么： ssl:"target.com" http.title:"IIS" ssl.cert.subject.CN:"target.com" http.title:"IIS" org:"target" http.title:"IIS" 这些示例查询将列出与目标的 org 或 SSL 证书相关的 IIS 框。有时您会发现临时服务器、被遗忘的管理面板以及没有人意识到是面向互联网的内部工具。您可以随意将 shodan 与其他平台（如 fofa、censys、netlas、odin 等）替换或组合。它们都索引互联网的不同部分。 🍕 google dorking Google 甚至可以在您启动扫描仪之前找到 IIS 服务器。这些呆子都是关于在某个范围内定位 IIS 目标的： site:target.com intitle:"IIS Windows Server" site:target.com inurl:aspnet_client site:target.com ext:aspx |分机：ashx | ext:asmx 站点:target.com intext:"Microsoft-IIS" | intext:"X-Powered-By: ASP.NET" site:target.com inurl:_vti_bin site:target.com intitle:"Microsoft Internet Information Services" aspnet_client 文件夹和 _vti_bin（FrontPage 扩展）是 IIS 的死赠品；如果 Google 已将它们编入索引，那么您就找到了目标。 ext:aspx dork 捕获任何索引的 ASP.NET 页面，这意味着 IIS 位于底层。另外，使用堆叠通配符扩展您的范围，以捕获基本枚举错过的嵌套子域： site:*.target.com intitle:"IIS" site:*.*.target.com intitle:"IIS" 第二个已经为我多次出现了开发/暂存框。主动技术指纹识别 知道您正在关注 IIS 的最简单方法是响应标头。使用原始请求击中它： nc -v target.com 80 或者如果是 TLS： openssl s_client -connect target.com:443 您在响应标头中寻找类似的内容： Server: Microsoft-IIS/10.0 X-Powered-By: ASP.NET 但您可能想大规模执行此操作。然后保持冷静并使用 httpx （或 nuclei ）： httpx -l Targets.txt -td |查找 IIS | grep IIS tee iis-targets.txt 好的，我找到了一个 IIS 服务器。现在怎么办？首先，让我们确认我们正在处理的内容，并获取服务器愿意免费提供的尽可能多的信息。内部知识产权披露 这是大多数人错过的免费赠品。向某些 IIS 设置（尤其是 Exchange 或 OWA 前端）发送 HTTP/1.0 请求，服务器有时会在 Location 标头中向您提供内部 IP：curl -v --http1.0 http://example.com 您可能会收到类似以下内容的信息： HTTP/1.1 302 Moved Temporarily Location: https://192.168.5.237/owa/ Server: Microsoft-IIS/10.0 X-FEServer: NHEXCHANGE2016 该内部 IP 和 X-FEServer 标头只是告诉您 Exchange 服务器的内部主机名。将其归档。我们可以在以下步骤中利用它的信息披露。 pwn 时间 现在侦察已经足够了，让我们进入有趣的部分。 nuclei 模板：自动化无聊的东西一旦你得到了 IIS 目标列表，就可以使用相关标签用 nuclei 来轰炸它们： nuclei -l iis-targets.txt \ -tags microsoft,windows,asp,aspx,iis,azure,config,exposure -silent 我喜欢在手动侦察时在后台触发它。 HTTPAPI 2.0 的死胡同并非如此。您会遇到很多 IIS 框，这些框会响应一般的 HTTPAPI 2.0 404 错误。大多数人看到这一点并认为“这里什么都没有”。错误的。这实际上意味着服务器没有在主机标头中收到正确的域名。 IIS 实例在那里，它正在运行某些东西，但它绑定到特定的虚拟主机。你需要弄清楚是哪一个。两种方法：检查SSL证书。主题或 SAN 字段通常包含您需要的主机名。只需在浏览器中点击它并检查证书即可。如果证书没有帮助，您可以暴力破解虚拟主机。像 ffuf 这样带有主机头单词列表的工具在这里工作得很好： ffuf -u https://TARGET_IP/ -H "Host: FUZZ.targe