本文详细介绍了各种Web服务器如IIS6.0、IIS7.0、Nginx和Apache的解析漏洞,包括目录解析、文件名解析、特殊格式漏洞、畸形解析等。通过这些漏洞,黑客可以实现上传恶意脚本并执行,例如通过在文件名中添加空格、点或利用FastCGI特性。还提到了Windows环境下和Apache .htaccess文件的利用方式,以及PHP CGI解析漏洞。
一、IIS6.0解析漏洞
iis6.0解析漏洞我觉着是最经典的解析漏洞了吧,现在一些小站这种漏洞还是仍然存在的
1.目录解析
1.asp/1.jpg 可利用此突破上传,iis6.0会将1.jpg解析成1.asp
2.文件名解析
1.asp;.jpg iis6.0从左向右解析,碰到;停止解析,把后面的jpg截断
3.特殊格式
1.asa 1.cer 1.cdx
这种主要是由于在 IIS 默认配置中,这几个后缀默认由 asp.dll 来解析,所以执行权限和 .asp 一模一样
二、IIS7.0/Nginx < 8.03 畸形解析漏洞
在默认Fast-CGI开启状况下,上传一个名字为test.jpg,内容为
<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>
然后访问..../...../test.jpg 则会在当前目录下生成shell.php
三、Nginx 其他解析漏洞
1.在Fast-CGI关闭的情况下,Nginx <=0.8.37 依然存在解析漏洞
在图片中嵌入 PHP 代码然后通过访问 xxx.jpg%00.php 就会执行里面的 PHP 代码
2.Nginx/1.0.15中进行。首先准备一张图片,命名为“test.html ”,注意,文件名含有空格。然后在浏览器中访问该文件,会得到一个404,因为浏览器自动将空格编码为%20,服务器中不存在文件“test.html%20”。测试目标是要让Nginx认为该文件是图片文件并正确地在浏览器中显示出来。我们想要的是未经编码的空格和截止符(\0),怎么办呢?使用Burp Suite抓取浏览器发出的请求包,修改为我们想要的样子,原本的URL是:xxx/xxx/test.htmlAAAphp ,将第一个“A”改成“20”(空格符号的ASCII码),将第二个“A”改成“00”(截止符),将第三个“A”改成“2e”(“.”的ASCII码)
四、Apache解析漏洞
Apache 是从右到左开始判断解析,如果为不可识别解析,就再往左判断.比如 test.php.owf.rar ".owf"和".rar" 这两种后缀是apache不可识别解析,apache就会把test.php.owf.rar解析成php.
五、其他解析漏洞
1.在windows环境下,xx.jpg[空格] 或xx.jpg. 这两类文件都是不允许存在的,若这样命名,windows会默认除去空格或点,黑客可以通过抓包,在文件名后加一个空格或者点绕过黑名单.若上传成功,空格和点都会被windows自动消除,这样也可以getshell。
2.如果在Apache中.htaccess可被执行,且可被上传.那可以尝试在.htaccess中写入:
SetHandler application/x-httpd-php
然后再上传shell.jpg的木马, 这样shell.jpg就可解析为php文件。
3.PHP CGI解析漏洞
当php的配置文件中的选项cgi.fix_pathinfo = 1开启时,当访问http://www.xxx.com/x.txt/x.php
时,若x.php不存在,则PHP会递归向前解析,将x.txt当作php脚本来解析
扫一扫
3067
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
