IIS解析漏洞
IIS6.X
⽬录解析
在iis的⽹站根⽬录新建⼀个名为w.asp的⽂件
在x.asp中新建⼀个jpg⽂件,内容为<%=now()%> 的asp代码
在外部浏览器中访问windows2003的iis⽹站中的1.jpg 发现asp代码被执⾏
IIS7.X
在IIS7.0和IIS7.5版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在⼀个⽂件路径/xx.jpg 后⾯加上/xx.php会将 /xx.jpg/xx.php 解析为 php ⽂件
利⽤条件:
1. php.ini⾥的cgi.fix_pathinfo=1 开启
2. IIS7在Fast-CGI运⾏模式下
环境配置:
在windows中安装IIS后在安装PHPstudy for IIS
配置 php.ini ⽂件,将 cgi.fix_pathinfo=1前用于注释的分号删掉,并重启
IIS --》 配置⽹站--》 处理程序映射--》 PHPStudy_FastCGI --》 请求限制 --》取消勾
开始使用
网站根目录下新建1.jpg
直接访问1.jpg
在1.jpg后加/.php
Nginx解析漏洞
nginx_parsing
进⼊Vulhub路径并开启容器
浏览器中访问⽹站
制作图⽚⻢并进⾏上传,获取上传⽂件地址
访问以下路径,利⽤Nginx解析漏洞
http://ip地址/uploadfiles/29a0252735b6f28bf3118a4136f69f90.jpg/.php
CVE-2013-4547
进⼊Vulhub路径并开启容器
直接上传 shell2.jpg 被拦截...修改⽂件后缀为.jpg进⾏上传且在后⾯添加空格;上传成功
在.jpg后⾯添加两个空格并给上 .php 后缀,在16进制修改中将原本两个空格的 0x20 0x20 修改为如下即 0x20 0x00 进⾏发包
访问上传后的⽂件....由于url会将其编码,需要继续抓包修改 0x20 0x20 为 0x20 0x00
Apache解析漏洞
apache_parsing
Apache HTTPD ⽀持⼀个⽂件拥有多个后缀,并为不同后缀执⾏不同的指令。
进⼊Vulhub路径并开启容器
访问靶机并上传 shell3.php.jpg ⽂件,⽂件内容为
<?php fputs(fopen("shell.php","w"),"<?php phpinfo();?>")?>
上传成功后与⽹站进⾏路径拼接
访问⽣成的shell.php并执⾏命令,执⾏成功。
CVE-2017-15715
Apache HTTPD是⼀款HTTP服务器,它可以通过mod_php来运⾏PHP⽹⻚。其2.4.0~2.4.29版本中存 在⼀个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进⾏解析,导致绕过⼀些服务器的安全 策略
进⼊Vulhub路径并开启容器
在evil.php⽂件后⾯添加空格 0x20 在改为 0x0a 再次返送即可上传成功
访问上传的evil⽂件在后⾯加上 存在解析漏洞 %0a 再访问发现解析了其中的PHP代码,但后缀不是php说明
