CVE-2004-1134 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Microsoft IIS 的 `w3who.dll` 存在**缓冲区溢出**漏洞。 💥 **后果**：远程攻击者发送超长查询字符串，可导致**拒绝服务 (DoS)**，甚至**执行任意代码**，彻底接管服务器。

🔍 **缺陷点**：**缓冲区溢出**。 📉 **CWE**：数据中未明确指定具体 CWE ID，但核心是输入验证缺失导致的内存越界写入。

🖥️ **受影响组件**：Microsoft IIS。 📦 **具体文件**：`w3who.dll`（Web 版 Whoami ISAPI 库）。 ⚠️ **注意**：数据中未列出具体版本号，仅指向该 DLL 组件。

👑 **权限提升**：攻击者可获取**任意代码执行**权限。 📂 **数据风险**：完全控制服务器，可窃取、篡改或销毁数据，并作为跳板攻击内网。

🚪 **利用门槛**：**低**。 🌐 **条件**：远程即可触发，无需认证。 📝 **操作**：只需构造一个**超长的查询字符串**发送给目标 IIS 服务器即可。

💣 **现成 Exp**：**有**。 📜 **来源**：参考链接显示在 Full Disclosure 邮件列表及 X-Force 数据库中已有详细漏洞条目（w3who-bo），说明 PoC 或利用思路已公开。

🔎 **自查方法**： 1. 检查 IIS 是否加载了 `w3who.dll`。 2. 扫描 Web 服务器是否响应包含该 DLL 的 ISAPI 扩展请求。 3. 使用漏洞扫描器检测 IIS 的 ISAPI 扩展缓冲区溢出风险。

🛡️ **官方修复**：数据中未提供具体补丁链接。 ⏳ **状态**：发布于 2004 年，属于**极老旧漏洞**。微软后续 IIS 版本及安全更新应已修复此类 ISAPI 溢出问题，建议升级系统。

🚧 **临时规避**： 1. **移除/禁用** `w3who.dll` 组件（如果不使用 Whois 查询功能）。 2. 在 IIS 或前端防火墙中**限制请求长度**，拦截超长查询字符串。 3. 配置 ISAPI 扩展白名单，禁止未授权 DLL 加载。

⚡ **优先级**：**极高**（针对遗留系统）。 📅 **背景**：虽然漏洞年代久远（2004），但若仍有运行老旧 IIS 的系统暴露在互联网，**必须立即修复**，因为这是典型的远程代码执行漏洞，极易被自动化脚本利用。