安全提示：IIS不要开启“WebDAV”扩展（转载）

在IIS设置里，有一个“Web服务扩展”的设置，其中包括“WebDAV”扩展。许多人都不明白，这个“WebDAV”扩展是干嘛用的，要不要开启呢？有不少人的想法是“开启吧，以免影响网站运行，启用总比不启用好”。其实，这些人的想法是错误的，我们在设置服务器时，基本原则是启用的服务越少越好，能不启用就不启用，在不了解某一服务时，千万不要开启它。为什么呢？因为那怕是一个小小的不经意的配置失误，都可能造成整台服务器被人入侵而沦陷。而“WebDAV”扩展就属于此类高风险的服务，绝对不能轻易开启，除非你对此服务已经相当熟悉，且做好了足够的安全设置。

在IIS中安装“WebDAV”扩展：

安装后就会在IIS中出现“WebDAV 创作规则”模块：

了解“WebDAV”扩展

---

WebDAV是一种基于 HTTP 1.1协议的通信协议，它扩展了HTTP 1.1，在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法。使应用程序可直接对Web Server直接读写，并支持写文件锁定(Locking)及解锁(Unlock)，还可以支持文件的版本控制。
IIS实现Webdav是采用它的两种接口：CGI、ISAPI的ISAPI接口。
Webdav支持的请求包括PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK等。

配置“WebDAV”扩展

---

为了安全上的考虑，IIS默认并不会启动WebDAV的功能，因此必须另外来激活它。
通过启动“IIS管理器”，展开本地计算机，选择“Web服务扩展”，选择“允许”的途径来启动WebDAV功能。
开启WebDAV之后，IIS就支持PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK等方法了。
当IIS中的配置允许写入的时候就可以直接PUT文件上去，由此可能引发非常严重的安全问题，强烈建议禁止。

“WebDAV”扩展的危害

---

当开启了WebDAV后，IIS中又配置了目录可写，便会产生很严重的问题，由此配置产生的问题很多，并且有老外黑了一群中国政府站有一部分就是由于此配置。 危害巨大，操作简单，直接批量扫描，上传shell。

测试IIS的put漏洞

---

演示用的是新装的Win2003虚拟机，IIS采用的默认的设置，勾选上了主目录标签页下的“写入”复选框。
对服务器发送OPTION包：

返回响应头如下：

HTTP/1.1 200 OK
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
MS-Author-Via: DAV
Content-Length: 0
Accept-Ranges: none
DASL: <DAV:sql>
DAV: 1, 2
Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
Allow: OPTIONS, TRACE, GET, HEAD, DELETE, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, MKCOL, LOCK, UNLOCK
Cache-Control: private

当ALLOW中包含如上方法时，可以确定服务器开启了WebDAV。
 
此时可以用PUT上传文件，但是不可以直接上传可执行脚本文件，可以先上传一个其他类型的文件，然后MOVE成脚本文件。

启用了“WebDAV”扩展，并且复选了“写入”，就可以写入txt文件了。要想使用MOVE命令将其更名为脚本文件后缀，必须还复选上“脚本资源访问”。
 
但是发现利用IIS的解析漏洞，可以MOVE成test.asp;.jpg，然后就可以当做shell来执行了。

测试NTFS权限的设置是否能够对IIS的写权限产生影响

---

测试一：
站点根目录设置IIS匿名帐户的权限为允许“读取和运行，列出文件夹目录，读取”，其它未勾选。经测试，可以成功PUT写入文件。

测试二：
站点根目录设置IIS匿名帐户的权限为允许“读取和运行，列出文件夹目录，读 取”，并且勾选禁止“写入”。经测试，可以PUT写入文件失败。

返回报文如下：

HTTP/1.1 401 Unauthorized
Content-Length: 75
Content-Type: text/html
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Fri, 01 Jan 2010 08:33:09 GMT

<html><head><title>Error</title>< /head><body>错误: 拒绝访问。</body></html>

注释：写入操作被 拒绝。

总结：不要开启“WebDAV”扩展

---

（1）如果没有启用“WebDAV”扩展，OPTIONS命令是无法查看IIS支持的方法集合 的。即便是复选上了“写入”，仍然无法写入txt文件（asp的当然也不行）。
（2）启用了“WebDAV”扩展，并且复选了“写入”，就可以写 入txt文件了。要想使用MOVE命令将其更名为脚本文件后缀，必须还复选上“脚本资源访问”。
（3）只有设置了IIS匿名帐户禁止“写入”的 NTFS权限，才能拒绝写入。注意：这个拒绝写入的权限是大家很容易忽视的，如果未设置，还是可以成功写入文件的。它并不单单是针对IIS写权限的，测试发现，如果没有禁止写入，脚本木马还是可以创建和修改文件的。

原文链接