一攒暇、應(yīng)用解析漏洞
1.低版本iis解析漏洞?
在網(wǎng)站根目錄創(chuàng)建一個(gè)xx.asp文件夾,之后在上傳一個(gè)xx.jpg的文件,訪問(wèn)jpg文件含鳞,即可獲取shell,需要上傳一個(gè)有寫(xiě)入權(quán)限
上傳文件xx.aps;.jpg 需要有寫(xiě)入權(quán)限。
上傳文件后綴名為xx.asa? xx.cer? xx.cdx
2.高版本iis需要把請(qǐng)求限制的 對(duì)勾 給去掉芹务,才會(huì)有解析漏洞
192.168.0.106:8089/1.jpg/.php,這樣去構(gòu)造蝉绷。
3.apache解析漏洞(是根據(jù)apache的解析是右向左進(jìn)行的鸭廷,遇到認(rèn)識(shí)的才開(kāi)始解析前面的)
上傳上去一個(gè)xxx.php.xxx 的文件可以解析成php文件來(lái)執(zhí)行(前提上傳上去的文件名不用修改)
如果上傳了一個(gè).htaccess文件,則都會(huì)被當(dāng)做PHP來(lái)執(zhí)行熔吗,一點(diǎn)要過(guò)濾.htaccess文件辆床。
4.nginx解析漏洞
nginx<8.03?
空字節(jié)代碼執(zhí)行漏洞
xxx.jpg%00.php 截?cái)?/p>
高版本的nginx
修改配置文件 讓fix_pathinfo為1(phpinfo中可以看出來(lái),默認(rèn)為開(kāi)啟狀態(tài))
可以使用777.jpg/1.php
777.jpg%00.php
777.jpg/%20\0.php
4.高版本iis7.5解析漏洞
也需要開(kāi)啟cgi解析桅狠,并且將fix_pathinfo 設(shè)置為1讼载,處理程序映射中的√是去掉的
與上面的nginx類似
執(zhí)行:xx.jpg/.php?
二、代碼解析漏洞
1.上傳.htaccess文件 中跌,是將本文件夾中的所有文件用php來(lái)執(zhí)行? 也可以稱為文件包含漏洞?
文件內(nèi)容為:
<FilesMatch "">SetHandler application/x-httpd-php</FilesMatch>
2.本地文件包含
文件包含漏洞的查找咨堤,當(dāng)有源代碼的時(shí)候可以直接查找,相關(guān)函數(shù)漩符,當(dāng)沒(méi)有源代碼的時(shí)候我們就需要手工包含別的文件來(lái)看看是否有包含漏洞一喘。
文件包含有四個(gè)函數(shù),遇到錯(cuò)誤不會(huì)停止執(zhí)行:include()陨仅、include_once()
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 遇到錯(cuò)誤會(huì)停止執(zhí)行:require()津滞、ruquire_once()
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 我們一般使用include()和include_once()
需要我們把a(bǔ)llow_url_include()設(shè)置為on狀態(tài)、magic_quotes_gpc為off狀態(tài)
(1)包含漏洞一般采用圖片與文件一起上傳灼伤,利用包含漏洞將圖片中的一句話木馬給解出來(lái)触徐。
(2)需要使用../來(lái)進(jìn)行返回上一級(jí)目錄,如果被過(guò)濾可以進(jìn)行..././進(jìn)行過(guò)濾狐赡。
(3)如果沒(méi)有發(fā)現(xiàn)需要進(jìn)行上傳的漏洞撞鹉,我們可以選擇選擇找到日志文件進(jìn)行包含獲取webshell,/apache/logs/access.log目錄颖侄,但是目錄前面的../需要自己構(gòu)造鸟雏。
(4)文件包含讀文件和寫(xiě)文件,這個(gè)都需要使用php協(xié)議
讀文件:php://filter/read=convert.base64-encode/resource=? ? ?(使用base64加密防止報(bào)錯(cuò))
寫(xiě)文件:php://input? ?在post中提交<?php system('net user')?>
(5)str_replace()函數(shù)览祖,可以將http孝鹊、https、../展蒂、..\都替換為空或刪除又活。
我們需要使用hthttp://tp://和..././進(jìn)行繞過(guò),絕對(duì)路徑也可以不會(huì)受影響锰悼。
(6)fnmatch()函數(shù)柳骄,只允許include和file頭進(jìn)行訪問(wèn)
我們可以使用file協(xié)議file://c:1.txt 這里絕對(duì)路徑和../都支持。一般企業(yè)都使用這個(gè)函數(shù)進(jìn)行過(guò)濾箕般。
