伺服器解析漏洞

伺服器解析漏洞算是歷史比較悠久了，但如今依然廣泛存在。在此記錄彙總一些常見伺服器的解析漏洞，比如IIS6.0、IIS7.5、apache、nginx等方便以後回顧溫習。

（一）IIS5.x-6.x解析漏洞

使用iis5.x-6.x版本的伺服器，大多為windows server 2003，網站比較古老，開發語句一般為asp；該解析漏洞也只能解析asp檔案，而不能解析aspx檔案。

目錄解析(6.0)

形式：www.xxx.com/xx.asp/xx.jpg
原理: 伺服器預設會把.asp，.asa目錄下的檔案都解析成asp檔案。

檔案解析

形式：www.xxx.com/xx.asp;.jpg
原理：伺服器預設不解析;號後面的內容，因此xx.asp;.jpg便被解析成asp檔案了。

解析檔案型別

IIS6.0 預設的可執行檔案除了asp還包含這三種 :
/test.asa
/test.cer
/test.cdx

修復方案

1.目前尚無微軟官方的補丁，可以通過自己編寫正則，阻止上傳xx.asp;.jpg型別的檔名。
2.做好許可權設定，限制使用者建立資料夾。

（二）apache解析漏洞

漏洞原理

　　Apache 解析檔案的規則是從右到左開始判斷解析,如果字尾名為不可識別檔案解析,就再往左判斷。比如 test.php.owf.rar “.owf”和”.rar” 這兩種字尾是apache不可識別解析,apache就會把wooyun.php.owf.rar解析成php。

漏洞形式

www.xxxx.xxx.com/test.php.php123

其餘配置問題導致漏洞

（1）如果在 Apache 的 conf 裡有這樣一行配置 AddHandler php5-script .php 這時只要檔名裡包含.php 即使檔名是 test2.php.jpg 也會以 php 來執行。
（2）如果在 Apache 的 conf 裡有這樣一行配置 AddType application/x-httpd-php .jpg 即使副檔名是 jpg，一樣能以 php 方式執行。

修復方案

1.apache配置檔案，禁止.php.這樣的檔案執行，配置檔案裡面加入

2.用偽靜態能解決這個問題，重寫類似.php.*這類檔案，開啟apache的httpd.conf找到LoadModule rewrite_module modules/mod_rewrite.so
把#號去掉，重啟apache,在網站根目錄下建立.htaccess檔案,程式碼如下:

（三）nginx解析漏洞

漏洞原理

　　Nginx預設是以CGI的方式支援PHP解析的，普遍的做法是在Nginx配置檔案中通過正則匹配設定SCRIPT_FILENAME。當訪問www.xx.com/phpinfo.jpg/1.php這個URL時，$fastcgi_script_name會被設定為“phpinfo.jpg/1.php”，然後構造成SCRIPT_FILENAME傳遞給PHP CGI，但是PHP為什麼會接受這樣的引數，並將phpinfo.jpg作為PHP檔案解析呢?這就要說到fix_pathinfo這個選項了。 如果開啟了這個選項，那麼就會觸發在PHP中的如下邏輯：

PHP會認為SCRIPT_FILENAME是phpinfo.jpg，而1.php是PATH_INFO，所以就會將phpinfo.jpg作為PHP檔案來解析了

漏洞形式

www.xxxx.com/UploadFiles/image/1.jpg/1.php
www.xxxx.com/UploadFiles/image/1.jpg%00.php
www.xxxx.com/UploadFiles/image/1.jpg/%20\0.php

另外一種手法：上傳一個名字為test.jpg，以下內容的檔案。

然後訪問test.jpg/.php,在這個目錄下就會生成一句話木馬shell.php。

修復方案

1.修改php.ini檔案，將cgi.fix_pathinfo的值設定為0;
2.在Nginx配置檔案中新增以下程式碼：

這行程式碼的意思是當匹配到類似test.jpg/a.php的URL時，將返回403錯誤程式碼。

（四）IIS7.5解析漏洞

IIS7.5的漏洞與nginx的類似，都是由於php配置檔案中，開啟了cgi.fix_pathinfo，而這並不是nginx或者iis7.5本身的漏洞。