接上一篇文件上传漏洞
(主要以apache+php环境为例 因为只用过这个组合)
0x00 概述,什么是文件解析漏洞
从上一篇我们知道了如何绕过服务器的过滤,把不合法的文件上传到服务器上。但是现在还没有结束,上传的文件还没有被执行,没有实现它应有的功能。
如果我们知道上传的文件放在哪里,就可以通过url请求这个脚本文件,同时如果服务器正好支持了PHP的解析,这样上传的文件将会通过apache激活PHP处理器,执行php代码。显而易见的是,apache应该至少支持一种脚本文件用以正常的网站访问,所以总会有脚本文件被解析执行,所以不能通过禁止解析所有种类的脚本文件来确保安全。
但是由于文件在上传的时候进行了过滤且假设过滤成功,那么所有以.php结尾的脚本文件都无法上传,使得服务器内部的php文件全部来自网站,是可信的,可以正常解析执行。然而我们设法绕过了上传的检测,使得一些异形的php脚本文件上传到了服务器上,类似于.php .pht .phtml .php5 .php3 .php4 .php7 .pHp .PhP之类,同时服务器由于不安全的配置使得这些异形php文件可以被执行。
这样一来,几个要素:上传的恶意脚本、脚本存放的位置、可以执行脚本的不安全配置,齐活,接下来使用一些菜刀类的webshell管理工具或者直接以浏览器打开url并以get/post方式发送命令就可以远程控制服务器。
0x01 关于web服务器(以apache为例)
web服务器用来处理客户端发来的请求。
个人的理解是一个平台一样的应用程序,由系统赋予权限执行。
在这个应用平台之上,有若干容器,apache的各个模块通过相应的配置文件,形成了web应用运行所必须的环境同时,apache也是由这些模块组织起来运行的,而配置文件由apache进行管理和解读。
而在容器中,维护着若干树形的文件结构,组织成了web应用即动态网站。
当接到客户端发来的请求时,apache进行解析,若是请求一个静态文件,则直接返回给浏览器;而当请求一个动态页面譬如一个php脚本文件时,如果apache通过配置文件发现这个文件是可执行的,便将请求转发给php引擎,php引擎解析并执行了相应的脚本文件,形成了一个“临时的、动态生成的”HTML文件,交回给apache,apache再将其返回给浏览器渲染展示。而如果apache通过配置文件发现不允许执行php文件,便会认为它只是一个静态的文档,将会直接返回代码显示在浏览器上。
以下为运行于kali上的apache,可以看到很多配置文件,看名字就知道作用。apache运作时,通过这些配置文件才能正确安全的运行,不安全的配置带来可能的漏洞。
root@kali:~# cd /etc/apache2/
root@kali:/etc/apache2# ls
apache2.conf conf-enabled magic mods-enabled sites-available
conf-available envvars mods-available ports.conf sites-enabled
至于什么样的php脚本可以生成这类动态HTML文件,为什么可以生成HTML文件,这牵涉到cgi编程、中间件(?)和其他的一些东西,不做展开
前方灵魂画手高能,非战斗人员迅速撤离
不同的web容器用于执行不同的网站后台文件。常见的有:IIS执行asp,apache、nginx执行php,tomcat执行Java等
那么什么是IIS、apache、nginx、tomcat呢?
以下来源于百度百科,反正没有人会看这些介绍,抄百度百科一点凑个字数(笑),也可以跳过介绍或者自行百度
IIS:基于windows的互联网基本服务,包括ftp/ftps、nntp、HTTP/HTTPs、smtp等服务,其使用
.net flameworks类库作为底层运行框架,ASP.NET作为开发工具
apache:Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中
nginx:Nginx (engine x) 是一个高性能的HTTP和反向代理服务,也是一个IMAP/POP3/SMTP服务。因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。
tomcat:Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta项目中的一个核心项目。Tomcat 服务器是一个免费的开放源代码的Web应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上作为一个与Apache 独立的进程单独运行的。
0x02 常用的web容器的解析漏洞
-
apache
apache解析文件有一个原则,当碰到不认识的扩展名时,将会从后向前解析,直到碰到认识的扩展名为止,如果都不认识则暴露其源代码。
例如:apache接到请求访问一个shell.php.aaa.bbb 文件。很明显,apache不认识.bbb扩展名,向前找到.aaa扩展名,也不认识,再向前找到.php扩展名,发现是php文件,便交给php解析器去执行。
那么apache如何认识各种类型的扩展名呢?如下所示是apache的配置文件,有一个默认的配置文件,
bbs.conf是我们另行添加的。内容很简单:指示apache碰到扩展名中含有php的,就把它当作php文件发给php解释器执行。作用之后会体现出来,暂且按下不表。
root@kali:/etc/apache2/sites-enabled# ls
000-default.conf bbs.conf
root@kali:/etc/apache2/sites-enabled# cat bbs.conf
AddHandler application/x-httpd-php .php
在/var/www/html(apache的默认网站文件存放目录)之下,手动添加一个1.php.aaa文件和一个正常的1.php文件,如下所示
root@kali:/etc/apache2/sites-enabled# cd /var/www/html
root@kali:/var/www/html# ls
1.php 1.php.aaa _create_admin_pwd.php index.php Model readme_tech.txt Template View
1.php.1 Controller Engine LICENSE.txt README.md static Upload
root@kali:/var/www/html#
二者的内容均为
root@kali:/var/www/html# cat 1.php
<?php
phpinfo();
?>
root@kali:/var/www/html# cat 1.php.aaa
<?php
phpinfo();
?>
//phpinfo();是一个简单的测试函数,用于输出php的一些配置
使用浏览器访问1.php文件,看到正常解析执行,输出了php配置信息。
这个时候,apache进行的是正常的逻辑。
但如果我们去访问1.php.aaa,会发现没有被执行
这个时候apache执行的逻辑中,确实把1.php.aaa发送给了php解释器去执行,但是php解释器拿到这个文件,也不认识扩展名,那咋办呢?那就只能发回原来的代码本身了。但是在我这里浏览器无法显示源代码,所以使用wget 127.0.0.1/1.php.aaa命令,访问服务器。
root@kali:/var/www/html# wget 127.0.0.1/1.php.aaa
--2018-12-25 05:57:53-- http://127.0.0.1/1.php.aaa
正在连接 127.0.0.1:80... 已连接。
已发出 HTTP 请求,正在等待回应... 200 OK
长度:20
正在保存至: “1.php.aaa.2”
1.php.aaa.2 100%[=====================================>] 20 --.-KB/s 用时 0s
2018-12-25 05:57:53 (1.76 MB/s) - 已保存 “1.php.aaa.2” [20/20])
root@kali:/var/www/html# cat 1.php.aaa.2
<?php
phpinfo();
?>
可以看到服务器返回给我的是源代码。
如果在Apache中.htaccess可被执行.且可被上传.那可以尝试在.htaccess中写入:
SetHandler application/x-httpd-php
然后再上传shell.jpg的木马, 这样shell.jpg就可解析为php文件
-
IIS6.0
1、当建立*.asa、*.asp格式的文件夹时,其目录下的所有文件将被IIS当作asp文件解析
2、当文件名为 *.asp;1.jpg 时,IIS6.0将以asp脚本执行
3、//WebDav扩展协议漏洞
-
nginx
访问http://www.xxxx.com/1.jpg/1.php,此时1.jpg将被当作PHP脚本来解析。这导致攻击者可以上传图片马,并在访问时url后加/xxx.php,就可以执行php脚本.
-
IIS7.0/nginx<8.03:
传一个名字为wooyun.jpg,内容为');?>的文件,然后访问wooyun.jpg/x.php,在这个目录下就会生成一句话木马 shell.php
-
nginx<8.03
影响版:0.5.,0.6, 0.7 <= 0.7.65, 0.8 <= 0.8.37 Nginx在图片中嵌入PHP代码然后通过访问 xxx.jpg%00.php 来执行其中的代码
-
windows
test.asp.
test.asp(空格)
test.php:1.jpg
test.php::$DATA
shell.php::$DATA…….
会被windows系统自动去掉不符合规则符号后面的内容。
在windows环境下,xx.jpg[空格] 或xx.jpg. 这两类文件都是不允许存在的,若这样命名,windows会默认除去空格或点,黑客可以通过抓包,在文件名后加一个空格或者点绕过黑名单.若上传成功,空格和点都会被windows自动消除,这样也可以getshell。