概要
- IISサーバーは誤設定が多く、攻撃対象として魅力的
- ShodanやGoogle DorkなどでIISサーバーを発見可能
- 内部IP漏洩やショートネーム列挙など、IIS特有の脆弱性が存在
- GitHubやBigQueryを活用した効率的なファイル名推測手法
- IIS専用ワードリストや自動化ツールで効率的に攻撃面を拡大
IISサーバーの探索と特定手法
- IISサーバー は誤設定が多く、攻撃者にとって格好の標的
- Shodan でIISサーバーをSSL証明書やタイトルで検索
- 例: ssl:"target.com" http.title:"IIS"
- Google Dorking でIIS特有のパスや拡張子を検索
- 例: site:target.com intitle:"IIS Windows Server"
- site:target.com ext:aspx | ext:ashx | ext:asmx
- サブドメイン もワイルドカードで網羅的に調査
- 例: site:*.target.com intitle:"IIS"
- レスポンスヘッダー でIISを判別
- Server: Microsoft-IIS/10.0 など
- httpxやnuclei で大量のターゲットを自動判別
IISサーバーを発見した後の初動調査
- 内部IP漏洩 の確認
- HTTP/1.0リクエストでLocationヘッダーに内部IPが出現するケース
- X-FEServerヘッダー などで内部ホスト名も取得可能
- これらの情報は次の攻撃フェーズで活用
自動化による脆弱性調査
- nuclei でIIS関連テンプレートを一括実行
- microsoft, windows, asp, aspx, iis, azure, config, exposure などのタグを活用
- HTTPAPI 2.0の404 はバーチャルホストの未指定が原因
- 証明書のSANやHostヘッダーのブルートフォースで正しいバーチャルホストを特定
IISショートネーム列挙とファイル名推測
- IISの8.3形式 (例: WEB~1.CON)でファイル・ディレクトリの短縮名を列挙
- shortscan やBurpのIIS Tilde Enumeration Scannerを利用
- ショートネームからフルネーム推測
- LLMs(大規模言語モデル)で部分一致ワードリスト生成
- GitHub Code Searchでパターンマッチ
- GSNW や GitHub-IIS-Shortname-Generator で自動化
- BigQueryのGitHub公開データセットで実際のファイル名を抽出
- 例: SELECT DISTINCT path FROM
bigquery-public-data.github_repos.filesWHERE REGEXP_CONTAINS(path, r'(?i)(/siteba[a-z0-9]+.zip|^siteba[a-z0-9]+.zip)')
- crunch で残りの文字列を総当たりワードリスト生成
- ffufと組み合わせて多様な区切りパターン(ハイフン、アンダースコア、スペース、直結)でファイル名を検証
IIS特有のファイル・エンドポイントへのファジング
- IIS専用ワードリスト で高価値ファイル・エンドポイントを狙い撃ち
- 例: /web.config, /global.asax, /trace.axd, /elmah.axd, /appsettings.json, /_vti_pvt/service.cnf など
- 拡張子もIIS/.NET系 に特化
- .asp, .aspx, .ashx, .asmx, .config, .json, .xml, .zip, .bak, .txt, .dll
- ffuf でIIS固有パターンを効率的にファジング
- -eオプションで拡張子を追加
- おすすめワードリスト
- secLists IIS.txt(定番)
- orwa’s iis.txt / aspx.txt(実戦向け)
- wfuzz iis.txt, dirbuster-ng iis.txt(コンパクト)
- Assetnoteの実データ由来ワードリスト
- OneListForAllなどの統合リスト
この内容はIISサーバーに対するバグバウンティや脆弱性診断の現場で即戦力となる知見と手法を網羅。 誤設定の多いIIS を狙う際は、 自動化ツール と 実データ由来ワードリスト を駆使し、 ショートネーム列挙 や ファイル名推測 で攻撃面を最大化することが重要。