中间件安全IIS----文件解析漏洞利用

avatar
作者
筋斗云
阅读量:0

IIS6 文件解析漏洞利用

IIS服务器主要存在两种解析缺陷:文件夹解析漏洞和分号截断漏洞。下面就来分别具体
了解一下。

1.文件夹解析漏洞

在IS5x和6.0下对于录名称为“xasp”中的任何内容,包括“1.jpg”这样的图片文件,都会被当作ASP文件解析。例如“/example.asp/1.jpg”,这本来是一个图片资源,但是IS服务器会将其当作
ASP
资源解析。也就是说,假设攻击者可以控制在服务器上创建的目录名称的话,即使它上传的是一张图片,仍然可以实现入侵。那么有人会说,怎么会有网站支持用户创建目录呢?还真有。早期很多网站的通用编辑器都是可以让用户自己去创建目录的,如EWebEditor、CKFinder、Fckeditor、KindEditor
等。由于很多网站都采用这种编辑器,于是也都存在允许攻击者恶意创建目录的权限。只不过一般情况下,攻击者想要接触到这些编辑器,需要首先拿到管理员密码,因为这些编辑功能往往只向管理员开放。假如网站使用的
IS 服务器文件夹解析漏洞,那么结合编辑器的功能,就很有可能沦陷。

接着,在Web 目录下创建一个文件夹,名为“a.asp”。文件夹内放置一个文件,命名为“1.jpg”。然后在该文件内,编写一段非常简单的 ASP
代码“<%=now()%>”。如果文件能够被解析为ASP文件,则可以打印出当前系统时间。
接下来,为服务器开启ASP解析功能,这是所有ASP网站都必须启用的。然后访问创建好的件,可以看到本应该解析为图片的资源被当作ASP解析成功了,打印出了系统时间。

这个漏洞反映出:系统安全本身是由很多组件拼接组成的,这些组件就像一块块积木,如果中一块积木存在缺陷,那么这个系统整体很有可能是有缺陷的。在一些情况下,一块积木摆放不确,并不会导致整体的崩塌,但是如果此时还有另外一块积木也出现了问题,那么就可能发生量变到质变的飞跃。网站不安全、遭受入侵,根源上可能是多个不同缺陷结合造成的。在这个案例中,文件夹解析漏洞和网站允许创建恶意文件夹这两个致命点,缺少何一个都不能导致攻击者入侵成功。

2.分号截断漏洞

IIS6.0下,会将“1.asp;.ipg”这样的文件当作 ASP
文件解析。在计算机对文件扩展名的理解上来说,文件扩展名是以最后一个“.”的后面内容为据的,这个文件被网站过滤程序理解成了图片。而实际上,IIS
会认为分号即是结尾,后面内容被“截断”了,认为这是 ASP 文件,于是产生了差异,差异即是不安全。
这种情况下,即使网站使用白名单的方法进行判断,只允许上传“.jpg”扩展名的文件,攻击者仍然可以实现入侵。这种方法是当年WebShell变形绕过的“网红”方法。在IS服务器的
Web 下创建“a.asp;.jpg”文件,由于分号截断了后面的“jpg”,从而导致文件被当成了ASP文件解析,如图5-5所示。

3.IIS 解析漏洞检测

对于 IS文件夹解析漏洞,可以通过在网站目录下创建“a.asp”文件夹,并在其中创建“1jpg”,文件内容填写ASP 代码。然后远程访问
http://target.com/a.asp/1.jpg,验证文件是否能够被当作ASP解析,以判断漏洞存在与否。
对于IIS分号截断漏洞,可以上传“1asp;.jpg”文件,然后远程访问 http://target.com/
1.asp;.jpg,验证文件是否能够被当作ASP解析,来进行漏洞检测。

学习网络安全技术的方法无非三种:

第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。

第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

第三种就是去找培训。

image.png

接下来,我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。

第一阶段:基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
image.png

第二阶段:web渗透

学习基础 时间:1周 ~ 2周:

① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
image.png

配置渗透环境 时间:3周 ~ 4周:

① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。

渗透实战操作 时间:约6周:

① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
image.png
以上就是入门阶段

第三阶段:进阶

已经入门并且找到工作之后又该怎么进阶?详情看下图
image.png

给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!