解析漏洞总结

erevus 2013-09-02 11:25:00

一、IIS 5.x/6.0解析漏洞


IIS 6.0解析利用方法有两种

1.目录解析

/xx.asp/xx.jpg

2.文件解析

wooyun.asp;.jpg 

第一种,在网站下建立文件夹的名字为_.asp、_.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。

例如创建目录 wooyun.asp,那么

/wooyun.asp/1.jpg

将被当作asp文件来执行。假设黑阔可以控制上传文件夹路径,就可以不管你上传后你的图片改不改名都能拿shell了。

第二种,在IIS6.0下,分号后面的不被解析,也就是说

wooyun.asp;.jpg

会被服务器看成是wooyun.asp

还有IIS6.0 默认的可执行文件除了asp还包含这三种

/wooyun.asa
/wooyun.cer
/wooyun.cdx

乌云上的IIS 6.0解析漏洞利用案例

http://www.wooyun.org/searchbug.php?q=IIS6.0

二、IIS 7.0/IIS 7.5/ Nginx <8.03畸形解析漏洞


Nginx解析漏洞这个伟大的漏洞是我国安全组织80sec发现的…

在默认Fast-CGI开启状况下,黑阔上传一个名字为wooyun.jpg,内容为

<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>

的文件,然后访问wooyun.jpg/.php,在这个目录下就会生成一句话木马 shell.php

这个漏洞案例

WooYun: 用友软件某分站SQL注入漏洞+nginx解析漏洞

WooYun: 新浪网分站多处安全漏洞(nginx解析+SQL注射等)小礼包

WooYun: kingsoft.com某x级域名nginx解析漏洞+爆路径

三、Nginx <8.03 空字节代码执行漏洞


影响版:0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37

Nginx在图片中嵌入PHP代码然后通过访问

xxx.jpg%00.php

来执行其中的代码

Nginx 空字节代执行漏洞案例

http://www.wooyun.org/searchbug.php?q=%2500.php

四、Apache解析漏洞


Apache 是从右到左开始判断解析,如果为不可识别解析,就再往左判断.

比如 wooyun.php.owf.rar “.owf”和”.rar” 这两种后缀是apache不可识别解析,apache就会把wooyun.php.owf.rar解析成php.

如何判断是不是合法的后缀就是这个漏洞的利用关键,测试时可以尝试上传一个wooyun.php.rara.jpg.png…(把你知道的常见后缀都写上…)去测试是否是合法后缀

Apache解析漏洞案例

http://www.wooyun.org/searchbug.php?q=apache%E8%A7%A3%E6%9E%90

五、其他


在windows环境下,xx.jpg[空格] 或xx.jpg. 这两类文件都是不允许存在的,若这样命名,windows会默认除去空格或点,黑客可以通过抓包,在文件名后加一个空格或者点绕过黑名单.若上传成功,空格和点都会被windows自动消除,这样也可以getshell。

如果在Apache中.htaccess可被执行.且可被上传.那可以尝试在.htaccess中写入: 

<FilesMatch "wooyun.jpg"> SetHandler application/x-httpd-php </FilesMatch>

然后再上传shell.jpg的木马, 这样shell.jpg就可解析为php文件。

评论

园长 2013-09-02 12:44:48

不错,支持下。

大师哥 2013-09-02 17:02:38

写的很不错

B

big、face 2013-09-02 21:33:52

学习了

X

xsser 2013-09-03 11:20:45

要是能够将更深层次的webserver处理请求的机制讲讲就更好啦

K

Kavia 2013-09-04 22:35:00

求补充

龙臣 2013-09-04 22:44:41

很全面的说

S

SunnyJay 2013-09-05 10:58:23

求续集

法海 2013-09-07 18:23:47

如果有写补救办法就更好了

S

Spongebob 2013-09-10 10:45:36

学习了

S

springold 2013-09-17 10:05:24

写得不错。

风花雪月 2015-01-12 03:16:14

这些都知道,但是我想问 在 IIS8.0之中 该怎么办呢?刚才遇到这个问题,百度来乌云鸟!

路人甲 2015-01-29 14:44:17

学习了,总结的很好

晓川 2015-03-24 21:15:54

学习了

昌维 2015-05-05 17:26:50

最后一个长见识了

D

demo 2015-09-24 10:17:51

<FilesMatch "wooyun.jpg"> 这里写匹配的文件是wooyun.jpg
上传也是上传wooyun.jpg , 而不是shell.jpg , 笔误了

B

backda0 2015-09-28 10:25:38

啊哟,这个屌

情痴 2016-01-21 23:33:50

这个总结的很全面,谢谢大牛分享

路人甲 2016-05-12 23:58:18

@昌维

立志成为厨神的男人 2016-06-03 21:42:53

不知道现在还有出来其他解析漏洞吗 这些都流传比较广了 求老司机写续集

狮子找女友 2019-05-08 14:04:50

现在还有新的续集么,写的真不错哦

E

erevus

这个人很懒,没有留下任何介绍

twitter weibo github wechat

随机分类

memcache安全 文章:1 篇
APT 文章:6 篇
浏览器安全 文章:36 篇
iOS安全 文章:36 篇
安全开发 文章:83 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录