IIS配置不当致使任意代码执行，旗下多站沦陷，上市公司大量采购、财务数据可查

其实问题很简单

1.WEB服务器扩展里设置WebDAV为允许

2.网站权限配置里开启了写入权限



http://iservice.qiaqiafood.com:8003/

首先找到的就是这个洽洽食品以及旗下华邦置业的两个OA系统，正是这个服务器的IIS配置不当，允许WEBDAV还有写权限，配合IIS6.0的解析漏洞，直接传

asp;.jpg

后缀的一句话（上传工具DAV explorer ），菜刀连接成功

打开web.config，找到数据库信息，连接数据库，裤子真不少，粗略的计算一下涵盖了洽洽集团旗下30多个WEB系统，部分系统，还有一些是内网的系统，包括众多的采购、财务、客户资料等信息，特别是OA系统中有许多这样的客户资料（详细到县一级的超市、商店），财务资料包括基本的购销存、差旅等 还有一些人事资料，满满的都是商业价值啊，这可是上市公司啊，OA系统内的短消息暴露的就更复杂了。。。

 





 

由于涉及的旗下系统、网站太多，在此不一一列举截图了，还需重视的就是几乎内外网的web应用，包括那个mis管理信息系统都存在许许多多的弱口令，应该要加强对内部员工的安全培训

1、禁止webdav

2、关闭写权限

另外，拿工具扫了一下，发现洽洽的好几个服务器都存在IIS tilde directory enumeration，即利用“~”字符猜解暴露短文件/文件夹名。微软的URLScan可以搞定，具体利用参见http://www.freebuf.com/articles/4908.html （参考于：http://www.cnblogs.com/ryhan/archive/2013/09/25.html，正好我自己的一台服务器用URLScan很简单就搞定了）