【渗透测试】Web服务程序解析漏洞原理、利用方式、防范措施

Web服务程序解析漏洞原理、利用方式、防范措施

---

一、原理

1. 定义与触发条件

Web服务程序解析漏洞本质是服务器对文件路径或后缀名的错误处理，导致恶意文件被当作可执行脚本解析。核心触发条件包括：

• 路径解析逻辑缺陷（如IIS的目录解析、Nginx的路径递归解析）。
• 后缀名处理漏洞（如Apache的多后缀解析、黑名单过滤不全）。
• 配置不当（如开启cgi.fix_pathinfo、错误配置AddHandler）。

2. 攻击链流程图

---

二、利用方式

1. 常见漏洞类型与利用手法

(1) IIS 5.x-6.x解析漏洞

• 目录解析：
  • 形式：http://example.com/xx.asp/xx.jpg
  • 原理：IIS将.asp目录下的任意文件解析为ASP脚本，无论实际后缀。
• 分号截断解析：
  • 形式：http://example.com/xx.asp;.jpg
  • 原理：IIS忽略分号后的内容，仅解析xx.asp部分。
• 高危文件类型：.asa、.cer、.cdx（开发者常忽略过滤这些后缀）。

真实案例：

• CVE-2017-7269：IIS 6.0 WebDAV远程代码执行漏洞，攻击者通过构造特殊路径触发缓冲区溢出。

(2) Apache解析漏洞

• 多后缀解析漏洞：
  • 形式：test.php.rar
  • 原理：Apache从右向左解析后缀，若遇到不可识别后缀（如.rar），则继续向左解析为PHP。
• 配置型漏洞：
  • 错误配置：AddHandler php5-script .php会导致test.php.jpg被解析为PHP。
  • 黑名单绕过：开发者未过滤.phtml、.phar等冷门PHP后缀。

真实案例：

• CVE-2020-11984：Apache HTTP Server路径遍历漏洞，攻击者通过恶意路径绕过安全限制。

(3) Nginx解析漏洞

• 路径解析漏洞：
  • 形式：http://example.com/web.jpg/backdoor.php
  • 原理：Nginx将路径中的.php交给PHP解释器处理，PHP因cgi.fix_pathinfo=1解析上一级文件（web.jpg）。
• 00截断漏洞：
  • 形式：http://example.com/1.jpg%00.php（Nginx <0.8.3版本）。

真实案例：

• 某云存储平台漏洞：攻击者上传图片马后通过/image.jpg/xxx.php路径触发RCE，导致数万用户数据泄露。

(4) IIS 7.x解析漏洞

• 形式：http://example.com/image.jpg/.php
• 原理：类似Nginx，因cgi.fix_pathinfo=1且FastCGI配置不当，导致.jpg文件被解析为PHP。

(5) PHP CGI解析漏洞（CVE-2012-1823）

• 形式：http://example.com/index.php?-s
• 原理：PHP CGI未正确处理查询参数，攻击者可泄露源码或执行命令。

---

三、防范模块

1. 通用防御策略

• 文件上传校验：
  • 白名单校验：仅允许.jpg、.png等静态文件后缀。
  • 内容检测：使用exif_imagetype()验证文件头，避免伪图片马。
• 服务器加固：
  • 关闭cgi.fix_pathinfo（Nginx/IIS）。
  • 限制上传目录执行权限（如Apache配置Options -ExecCGI）。

2. 各服务器专项修复方案

IIS 5.x-6.x

<!-- 禁止分号截断 -->  
<rule name="Block semicolon in URL">  
    <match url=".*\.asp;.*" />  
    <action type="AbortRequest" />  
</rule>  

Apache

# 禁止多后缀解析  
<FilesMatch "\.(php.|php3.|phtml.)">  
    Require all denied  
</FilesMatch>  

Nginx

# 阻止路径解析漏洞  
location ~* \.php$ {  
    if ($request_uri ~* ".*\.php/.*") {  
        return 403;  
    }  
    fastcgi_pass unix:/var/run/php-fpm.sock;  
    include fastcgi_params;  
}  

IIS 7.x

• 关闭FastCGI的“检查文件存在”选项：

  <fastCgi>  
      <application fullPath="C:\PHP\php-cgi.exe" arguments="-c C:\PHP\php.ini" activityTimeout="600" requestTimeout="600" instanceMaxRequests="10000">  
          <environmentVariables>  
              <environmentVariable name="PHP_FCGI_MAX_REQUESTS" value="10000" />  
          </environmentVariables>  
      </application>  
  </fastCgi>  
  

3. 安全开发

• 避免动态路径拼接：

  // 错误示例  
  $file = $_GET['file'];  
  include("/uploads/" . $file);  
  
  // 正确示例  
  $allowed_files = ["image1.jpg", "image2.png"];  
  if (in_array($_GET['file'], $allowed_files)) {  
      include("/uploads/" . $_GET['file']);  
  }  
  

• 使用现代框架：如Spring Boot（自动过滤危险路径）、Laravel（强制白名单上传）。

---

四、结语与拓展

漏洞本质

解析漏洞的核心是**“信任用户输入”与“逻辑/配置缺陷”**的结合。攻击者通过构造特殊路径或后缀，绕过服务器的预期行为。

漏洞自查清单

1. 是否开启cgi.fix_pathinfo？
2. 上传功能是否使用白名单校验？
3. 关键目录（如/uploads）是否禁止脚本执行？
4. 是否定期更新Web服务程序版本？

思考题

• 为什么Nginx的路径解析漏洞依赖cgi.fix_pathinfo？
  （提示：该配置允许PHP解释器在找不到文件时回溯路径，导致非预期解析。）

---

参考资源

1. CVE数据库：https://cve.mitre.org/（查询最新漏洞详情）
2. OWASP文件上传指南：https://cheatsheetseries.owasp.org/
3. Apache安全配置手册：https://httpd.apache.org/docs/2.4/misc/security_tips.html
4. Nginx官方文档：https://nginx.org/en/docs/