【文件解析漏洞】实战详解!

muyuchen1102024-07-31 17:59

漏洞描述:

文件解析漏洞是由于中间件错误的将任意格式的文件解析成网页可执行文件,配合文件上传漏洞进行GetShell的漏洞!

IIS解析漏洞:

IIS6.X:

方式一:目录解析

在网站下建立文件夹的名字为.asp/.asa 的文件夹,其目录内的任何扩展名的文件都被I1S当作asp文件来解析并执行。

方式二:畸形文件解析

在IIS 6处理文件解析时,分号可以起到截断的效果。也就是说 shel.asp;.jpg会被服务器看成是shell.asp。另外IS6.0默认的可执行文件除了asp还包含 asa\cer\cdx

----------------------------------------------

lIS7.X

在IlS7.0和Il S7.5版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在一个文件路径/xx.jpg后面加上/xx.php会将/xx.jpg/xx.php 解析为 php 文件。

利用条件
php.ini里的cgi.fix_pathinfo=1 开启

IIS7在Fast-CGl运行模式下

环境配置

在Windows Server 2008R2中安装IS后在安装PHPstudy for liS..

配置 php.ini 文件,将cgi.fix_pathinfo=1 取消掉...并重启.....

lIS --》 配置网站--》 处理程序映射--》 PHPStudy_FastCGl --》 请求限制 --》取消勾选

利用姿势 .

在www目录下创建1.jpg

浏览器访问:

GetShell :

将PHP一句话木马写到shell.php并更改后缀为shell.jpg上传到目标站点..利用解析漏洞进行访问...

复制代码 
http://192.168.4.xxx/shell.jpg/.php

浏览器访问进行木马连接

在菜刀2014中添加Shell并链接..蚁剑不能行

连接成功

-----------------------------------------------

Nginx解析漏洞

这个解析漏洞其实是PHP CGI的漏洞,在PHP的配置文件中有一个关键的选项cgi.fix_pathinfo默认是开启的,当URL中有不存在的文件,PHP就会向前递归解析。在一个文件/xx.jpg后面加上/.php会将/xx.jpg/xx.php 解析为 php 文件。

利用姿势

Nginx的文件解析漏洞..和S7.0的解析漏洞同样的原理,因为 cgi.fix_pathinfo=1 造成的解析漏洞...PS:同样使用1.jpg/.php方式进行绕过.

步骤一:进入以下Vulhub路径并开启容器..

上传一个jpg文件 用文件头绕过

访问以下路径,利用Nginx解析漏洞...

CVE-2013-4547

此漏洞为文件名逻辑漏洞,该漏洞在上传图片时,修改其16进制编码可使其绕过策略,导致解析为php。当Nginx得到一个用户请求时,首先对url进行解析,进行正则匹配,如果匹配到以.php后缀结尾的文件名,会将请求的PHP文件交给PHP-CGI去解析。

影响版本
Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

利用姿势

步骤一:进入以下Vulhub路径并开启容器..

上传一个php文件看看

不让上传试试jpg抓包

在jpg后面加上两个空格.php再将hex的第二个空格改为%00

然后放包上传成功

访问upload路径再次进行抓包

把%20改为空格 把hex第二个空格改为%00

放包访问成功

--------------------------------------------

Apache解析漏洞

漏洞原理:

Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。比如如下配置文件:

复制代码 
AddType text/html .html
AddLanguage zh-CN .cn

那么,在有多个后缀的情况下,只要一个文件含有.php 后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。

利用姿势:

步骤一:进入以下Vulhub路径并开启容器..

上传一个php.jpg文件

上传成功访问upload地址-----访问成功

-----------------------------------

CVE-2017-15715

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

影响版本:2.4.0~2.4.29

利用姿势:

步骤一:进入Vulhub靶场并开启目标靶机,进行访问.

上传php文件并进行抓包

访问上传的evil文件在后面加上 %0a 再访问发现解析了其中的PHP代码,但后不是php说明
存在解析漏洞

将hex的20改为0a

放包上传成功(访问成功)

相关推荐
用户9623779544810 小时前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机13 小时前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机13 小时前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
用户9623779544814 小时前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star14 小时前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户9623779544818 小时前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
cipher2 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
一次旅行5 天前
网络安全总结
安全·web安全
red1giant_star5 天前
手把手教你用Vulhub复现ecshop collection_list-sqli漏洞(附完整POC)
安全
ZeroNews内网穿透5 天前
谷歌封杀OpenClaw背后:本地部署或是出路
运维·服务器·数据库·安全
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)06Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤07OpenClaw优化飞书API 额度已耗尽问题08Window 10部署openclaw报错node.exe : npm error code 12809【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆10OpenClaw大龙虾机器人完整安装教程