IIS 서버, 숨겨진 취약점 파헤치기

커뮤니티에서는 Shodan, Censys, Google Dorking 등 다양한 외부 소스를 활용하여 인터넷에 노출된 IIS 서버를 식별하는 것이 첫걸음이라고 강조함. 특히 `intitle:IIS`, `inurl:aspnet_client`와 같은 구글 Dorking 기법은 숨겨진 관리자 페이지나 개발 환경을 찾아내는 데 효과적이라고 언급됨. 또한, `Server: Microsoft-IIS/X.X` 헤더를 확인하는 것이 가장 기본적인 식별 방법임을 재확인함.

IIS의 레거시 8.3 파일명 규칙을 이용한 Tilde Enumeration 기법이 주목받음. `shortscan`과 같은 도구를 사용하여 `WEB~1.CON`과 같은 단축명을 얻고, 이를 기반으로 LLM, GitHub, BigQuery 등을 활용하여 원본 파일명(예: web.config)을 추측하는 과정이 상세히 설명됨. 이 기법은 디렉토리 리스팅이 비활성화된 환경에서도 유용하다고 평가됨.

가장 치명적인 취약점 중 하나로 Web.config 파일의 노출이 지목됨. 이 파일에는 ViewState 암호화에 사용되는 Machine Keys가 포함될 수 있으며, 이를 탈취하면 Deserialization 취약점을 통해 원격 코드 실행(RCE)이 가능하다고 설명함. Path Traversal이나 백업 파일 노출 등 다양한 경로로 Web.config에 접근할 수 있음을 강조함.

ASP.NET의 Cookieless Session 기능을 악용하여 `bin` 디렉토리의 DLL 파일을 직접 다운로드하는 기법이 소개됨. `/(S(X))/b/(S(X))in/YourApp.dll`과 같은 URL 구조를 통해 컴파일된 소스 코드를 얻을 수 있으며, 이를 통해 하드코딩된 자격 증명이나 내부 로직을 파악할 수 있다고 함. 이는 개발자들이 간과하기 쉬운 정보 노출 경로임.

IIS 환경에서의 파일 업로드 취약점은 `.aspx` 확장자 블랙리스트 우회를 위한 Trailing Dot 기법과 `.cer`, `.svg` 등 HTML로 렌더링되는 확장자를 이용한 XSS 공격 가능성을 제시함. 또한, WAF(Web Application Firewall)를 우회하기 위한 HTTP Parameter Pollution (HPP) 기법을 통해 중복 파라미터를 활용하는 고급 전략도 포함됨.