0x00 總覽說明
伺服器解析漏洞算是歷史比較悠久了,但如今依然廣泛存在。在此記錄彙總一些常見伺服器(web server)的解析漏洞,比如iis6.0、iis7.5、apache、nginx等方便以後回顧溫習。
0x01 歸納總結
(一)iis5.x-6.x解析漏洞
使用iis5.x-6.x版本的伺服器,大多為windows server 2003,**比較古老,開發語句一般為asp;該解析漏洞也只能解析asp檔案,而不能解析aspx檔案。
目錄解析(6.0)
形式:www.***.com/xx.asp/xx.jpg
原理: 伺服器缺省會把.asp,.asa目錄下的檔案都解析成asp檔案。
檔案解析
形式:www.***.com/xx.asp;.jpg
原理:伺服器預設不解析;號後面的內容,因此xx.asp;.jpg便被解析成asp檔案了。
解析檔案型別
iis6.0 預設的可執行檔案除了asp還包含這三種 :
/test.asa
/test.cer
/test.cdx
修復方案
1.目前尚無微軟官方的補丁,可以通過自己編寫正則,阻止上傳xx.asp;.jpg型別的檔名。
2.做好許可權設定,限制使用者建立資料夾。
(二)apache解析漏洞
漏洞原理
apache 解析檔案的規則是從右到左開始判斷解析,如果字尾名為不可識別檔案解析,就再往左判斷。比如 test.php.owf.rar 「.owf」和」.rar」 這兩種字尾是apache不可識別解析,apache就會把wooyun.php.owf.rar解析成php。
漏洞形式
修復方案
1.apache配置檔案,禁止.php.這樣的檔案執行,配置檔案裡面加入
order allow,deny
deny from all
2.用偽靜態能解決這個問題,重寫類似.php.*這類檔案,開啟apache的httpd.conf找到loadmodule rewrite_module modules/mod_rewrite.so
把#號去掉,重啟apache,在**根目錄下建立.htaccess檔案,**如下:
複製**
php會認為script_filename是phpinfo.jpg,而1.php是path_info,所以就會將phpinfo.jpg作為php檔案來解析了
漏洞形式
***.jpg%00.php (nginx <8.03 空位元組**執行漏洞)
另外一種手法:上傳乙個名字為test.jpg,以下內容的檔案。
<?php fputs(fopen('shell.php','w'),'<?php eval($_post[cmd])?>');?>
然後訪問test.jpg/.php,在這個目錄下就會生成一句話木馬shell.php。
使用phpstudy測試,預設配置即可(雖然預設的cgi.fix_pathinfo是注釋狀態,但的確預設值為1)。nginx版本1.11.5 (可見並不是)
修復方案
1.修改php.ini檔案,將cgi.fix_pathinfo的值設定為0;
2.在nginx配置檔案中新增以下**:
if ( $fastcgi_script_name ~ …*/.*php )
這行**的意思是當匹配到類似test.jpg/a.php的url時,將返回403錯誤**。
(四)iis7.5解析漏洞
iis7.5的漏洞與nginx的類似,都是由於php配置檔案中,開啟了cgi.fix_pathinfo,而這並不是nginx或者iis7.5本身的漏洞。
滲透測試之解析漏洞
現在對上傳的檔案校驗越來越嚴格了,所以導致webshell難以上傳,而後面解析漏洞的出現在配合檔案上傳,可以成功上傳webshell。危害程度很高 現在整理一些網上公布的解析漏洞。不過都是很老的版本,所以前期資訊收集很重要,要是遇到這些版本就可以用上了。1.iis5.x iis6.0版本 1.1 目...
伺服器解析漏洞
伺服器解析漏洞算是歷史比較悠久了,但如今依然廣泛存在。在此記錄彙總一些常見伺服器的解析漏洞,比如iis6.0 iis7.5 apache nginx等方便以後回顧溫習。一 iis5.x 6.x解析漏洞 使用iis5.x 6.x版本的伺服器,大多為windows server 2003,比較古老,開發...
伺服器解析漏洞
windows2003系統 iis6.0 5.0服務 可以執行 asp,asp.net 也可以執行asa,ashx,cer,cdx 解析漏洞 1.asp jpg 解析漏洞 1.asp 1.jpg windows2008系統 iis7.5 7.0服務 可以執行 asp,asp.net 也可以執行asa...