IIS サーバーの脆弱性を狙う bug bounty 手法
原題: Humiliating IIS servers for fun and jail time
なぜ重要か
IIS は多くの企業システムで使用される重要なサーバーソフトウェア。具体的な脆弱性の悪用手法が詳細に公開されることで、セキュリティ運用者は防御強化が急務であり、同時に業界全体の セキュリティ意識向上に寄与する。
セキュリティ研究者が bug bounty 中に IIS(Microsoft Internet Information Services)サーバーを攻撃する手法を解説した記事が公開された。Shodan や Google dorking などの探索技術から、内部 IP 開示、web.config ファイルの抽出、パストラバーサルといった複数の脆弱性の悪用方法までが詳細に説明されている。IIS は継続的に設定ミスが存在する標的だと指摘している。
記事は bug bounty における IIS サーバーへの系統的なアプローチを段階的に説明している。
【探索段階】Shodan や Google dorking を活用した検出方法を紹介。Shodan では SSL 証明書のサブジェクトや HTTP タイトルで「IIS」を検索。Google dorking では aspnet_client フォルダや _vti_bin(FrontPage 拡張)の存在を確認するクエリを使用。httpx などのツールで大規模なターゲットリストをスキャンする方法も解説。
【情報収集】HTTP/1.0 リクエストを送信すると、特に Exchange や OWA フロントエンドでは Location ヘッダに内部 IP が開示される脆弱性を指摘。さらに X-FEServer ヘッダから内部ホスト名も判明する。
【攻撃手法】web.config ファイルはアプリケーションルートに保存されるデータベース接続文字列や認証情報が含まれる重要ファイル。パストラバーサルで bin ディレクトリの DLL を抽出したり、NTFS のハック(短いファイル名形式)を利用した認証回避、cookieless セッション経由の DLL 公開を説明。
【自動化】Nuclei テンプレートの活用で退屈な作業を自動化。LLM やGitHub Dorks、BigQuery を使用して短いファイル名を解決する手法も紹介。
【WAF 回避】HTTP パラメータ汚染(HPP)でホストベース WAF を迂回する技術を記載。
IIS サーバーは一般的に誤設定が多く、標準的な青いスプラッシュページの背後に多くの脆弱性が隠れていることが示唆されている。