常见服务器解析漏洞(IIS,Nginx,Apache)
一.IIS6.0
目錄解析:/xx.asp/xx.jpg
xx.jpg 可替換為任意文本文件(e.g. xx.txt),文本內容為后門代碼
IIS6.0 會將 xx.jpg 解析為 asp 文件。
后綴解析:/xx.asp;.jpg
IIS6.0 都會把此類后綴文件成功解析為 asp 文件。
默認解析:/xx.asa
/xx.cer
/xx.cdx
IIS6.0 默認的可執行文件除了 asp 還包含這三種
此處可聯系利用目錄解析漏洞
/xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg
二.IIS 7.0/IIS 7.5/Nginx <0.8.03
在默認Fast-CGI開啟狀況下,在一個文件路徑(/xx.jpg)后面加上/xx.php,會將 /xx.jpg/xx.php 解析為 php 文件。
常用利用方法:
將一張圖和一個寫入后門代碼的文本文件合并,將惡意文本寫入圖片的二進制代碼之后,避免破壞圖片文件頭和尾
如:
copy xx.jpg /b + yy.txt/a xy.jpg
#
/b 即二進制[binary]模式
/a 即ascii模式
xx.jpg 正常圖片文件
yy.txt 內容
#
找個地方上傳 xy.jpg ,然后找到 xy.jpg 的地址,在地址后加上 /xx.php 即可執行惡意文本。然后就在圖片目錄下生成一句話木馬 shell.php
密碼 cmd
三.Nginx <0.8.03
在Fast-CGI關閉的情況下,Nginx <0.8.03依然存在解析漏洞
在一個文件路徑(/xx.jpg)后面加上%00.php,會將 /xx.jpg%00.php 解析為 php 文件。
四.Apache<0.8.03
后綴解析:test.php.x1.x2.x3
Apache將從右至左開始判斷后綴,若x3非可識別后綴,再判斷x2,直到找到可識別后綴為止,然后將該可識別后綴進行解析 test.php.x1.x2.x3 則會被解析為php
經驗之談:php|php3|phtml 都可被Apache解析。
五.其他一些可利用的
在windows環境下,xx.jpg[空格] 或xx.jpg. 這兩類文件都是不允許存在的
若這樣命名,windows會默認除去空格或點,這也是可以被利用的!
在向一臺windows主機上傳數據時,你可以抓包修改文件名,在后面加個空格或點,試圖繞過黑名單,若上傳成功,最后的點或空格都會被消除,這樣就可得到shell。我記得Fck Php 2.6就存在加空格繞過的漏洞。
{Linux主機中不行,Linux允許這類文件存在}
如果在Apache中.htaccess可被執行(默認不執行,這是90sec里的一位朋友說的,當初我并不知道),且可以被上傳,那可以嘗試在.htaccess中寫入:
shell.jpg換成你上傳的文件,這樣shell.jpg就可解析為php文件
六.錯誤修改
在 IIS 6.0 下可解析 /xx.asp:.jpg
{/xx.asp:.jpg 此類文件在Windows下不允許存在,:.jpg被自動除去,剩下/xx.asp}修改:
先謝謝核攻擊的提醒
當上傳一個/xx.asp:.jpg文件時,的確:.jpg會消失,但是現在的/xx.asp里是沒有任何內容的.
總結
以上是生活随笔為你收集整理的常见服务器解析漏洞(IIS,Nginx,Apache)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: metinfov5.0.4漏洞复现
- 下一篇: Nginx —— 检查配置文件ngi