2026年3月18日 · 阅读时间13分钟 我的一个朋友曾告诉我：如果你发现了IIS蓝屏，别停下；肯定有什么东西。没错，他说的对。那个IIS启动页面并不是死胡同。在那个蓝色窗口后面，坐着的是www上最常被错误配置的网络服务器之一，它乞求你深入探查。所以让我带你了解我在漏洞悬赏期间如何接近IIS目标。 目录 嘘，嘘，IIS服务器，你们在哪里？ shodan 谷歌搜索技巧 主动技术指纹识别 好吧，我找到了一个IIS服务器。那么接下来呢？ 内部IP泄露 破解时间 nuclei模板：自动化无聊的东西 HTTPAPI 2.0并不是死胡同 波浪符枚举：送上门的礼物 使用LLM 使用github dorks解析短名称 使用BigQuery解析短名称 用crunch进行剩余的暴力攻击 模糊测试：IIS特定的词汇表很重要 web.config：通往王国的钥匙 路径遍历到web.config bin目录 通过无Cookie会话暴露DLL 反向代理路径混淆 通过NTFS技巧实现身份验证绕过 文件上传技巧 通过HPP绕过WAF 嘘，嘘，IIS服务器，你们在哪里？ 这里有一些我用来寻找IIS服务器的技巧。 shodan 在你触碰目标之前，先看看Shodan已经知道什么： ssl:"target.com" http.title:"IIS" ssl.cert.subject.CN:"target.com" http.title:"IIS" org:"target" http.title:"IIS" 这些示例查询将列出与目标的组织或SSL证书相关联的IIS服务器。有时你会发现暂存服务器、被遗忘的管理面板和没有人意识到是面向互联网的内部工具。随意替换或组合shodan与fofa、censys、netlas、odin等其他平台。它们都索引互联网的不同部分。 🍕谷歌搜索技巧 谷歌可以在你甚至还未启动扫描器之前为你找到IIS服务器。这些搜索技巧主要是为了在范围内定位IIS目标： site:target.com intitle:"IIS Windows Server" site:target.com inurl:aspnet_client site:target.com ext:aspx | ext:ashx | ext:asmx site:target.com intext:"Microsoft-IIS" | intext:"X-Powered-By: ASP.NET" site:target.com inurl:_vti_bin site:target.com intitle:"Microsoft Internet Information Services" aspnet_client文件夹和_vti_bin（FrontPage扩展）是IIS的明显迹象；如果谷歌已经索引了它们，那么你就找到了目标。ext:aspx搜索技巧捕捉任何索引的ASP.NET页面，这意味着IIS在其中。此外，使用层叠的通配符扩大你的范围，以捕捉基本枚举漏掉的嵌套子域： site:*.target.com intitle:"IIS" site:*.*.target.com intitle:"IIS" 第二个查询帮助我多次发现了开发/暂存环境。 主动技术指纹识别 知道你正在查看IIS的最简单方法就是响应头。发送原始请求： nc -v target.com 80 或者如果是TLS： openssl s_client -connect target.com:443 你在响应头中寻找的内容如下： Server: Microsoft-IIS/10.0 X-Powered-By: ASP.NET 但可能你想大规模地执行这个操作。那么保持冷静，使用httpx（或nuclei）: httpx -l targets.txt -td | grep IIS | tee iis-targets.txt 好吧，我找到一个IIS服务器。那么接下来呢？ 首先，让我们确认我们所面对的是什么，并抓取服务器愿意免费提供的尽可能多的信息。 内部IP泄露 这是一个大多数人会错过的免费信息。向某些IIS设置（尤其是Exchange或OWA前端）发送HTTP/1.0请求，服务器有时会在Location头中给你提供一个内部IP： curl -v --http1.0 http://example.com 你可能会收到类似这样的响应： HTTP/1.1 302 Moved Temporarily Location: https://192.168.5.237/owa/ Server: Microsoft-IIS/10.0 X-FEServer: NHEXCHANGE2016 那个内部IP和X-FEServer头就告诉你Exchange服务器的内部主机名。记录下来。这是我们可以在接下来的步骤中利用的信息。 破解时间 到现在为止，进行的侦察够多了，让我们进入有趣的部分。 nuclei模板：自动化无聊的东西 一旦你有了IIS目标的列表，使用相关标签通过nuclei对它们进行冲击： nuclei -l iis-targets.txt -tags microsoft,windows,asp,aspx,iis,azure,config,exposure -silent 我喜欢在我进行手动侦察时在后台执行这个。 HTTPAPI 2.0并不是死胡同 你会遇到许多IIS服务器，它们响应的是通用的HTTPAPI 2.0 404错误。大多数人看到这个都会认为“这里没什么。”错了。这实际上意味着服务器在Host头中没有接收到正确的域名。IIS实例在那里，它正在运行某些东西，但它与特定的虚拟主机绑定。你需要找出来是哪个。有两种方法： 检查SSL证书。主题或SAN字段通常包含你需要的主机名。只需在浏览器中访问它并检查证书。如果证书没有帮助，你就要暴力破解虚拟主机。像ffuf这样的工具与主机头单词列表在这里效果很好： ffuf -u https://TARGET_IP/ -H "Host: FUZZ.target.com" -w vhosts.txt -fs 0 当你落到正确的虚拟主机时