Guía de reconocimiento y explotación de servidores IIS para bug bounty

Fuentes: humiliating iis servers for fun and jail time

Esta guía detalla el flujo de trabajo que un cazador de vulnerabilidades aplica al enfrentarse a servidores Microsoft IIS dentro de un programa de bug bounty. El texto parte de la premisa de que la página azul característica de IIS rara vez es un callejón sin salida y suele esconder servicios mal configurados.

En la fase de reconocimiento, se explica cómo localizar objetivos IIS combinando consultas en Shodan, FOFA, Censys y Google Dorks, prestando atención a carpetas heredadas como aspnet_client y _vti_bin, típicas de IIS. También se recomienda identificar el servidor mediante cabeceras HTTP con httpx o nuclei y aprovechar la respuesta a peticiones HTTP/1.0, que en servidores como Exchange filtra direcciones IP internas y nombres de host en la cabecera Location.

Una vez obtenidos los candidatos, se propone lanzar nuclei con etiquetas específicas de Microsoft, IIS, ASP y Azure. Cuando un servidor responde con un error HTTPAPI 2.0 404, se interpreta como un problema de Host header y se resuelve inspeccionando el certificado SSL o aplicando fuerza bruta de virtual hosts con ffuf.

El artículo profundiza en la enumeración de nombres cortos de archivos 8.3 con shortscan y el plugin de Burp, y muestra cómo reconstruir los nombres reales de los ficheros a partir de esos fragmentos. Para ello se apoya en búsquedas de código en GitHub, herramientas como GSNW o GitHub-IIS-Shortname-Generator, y en consultas SQL sobre el dataset público de GitHub en Google BigQuery, una técnica inspirada en la investigación de Assetnote. Por último, introduce el uso de modelos de lenguaje para generar wordlists dirigidas a partir de los shortnames descubiertos.