解析漏洞总结

一、IIS 5.x/6.0解析漏洞


IIS 6.0解析利用方法有两种

1.目录解析

/xx.asp/xx.jpg

2.文件解析

wooyun.asp;.jpg 

第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。

例如创建目录 wooyun.asp,那么

/wooyun.asp/1.jpg

将被当作asp文件来执行。假设黑阔可以控制上传文件夹路径,就可以不管你上传后你的图片改不改名都能拿shell了。

第二种,在IIS6.0下,分号后面的不被解析,也就是说

wooyun.asp;.jpg

会被服务器看成是wooyun.asp

还有IIS6.0 默认的可执行文件除了asp还包含这三种

/wooyun.asa
/wooyun.cer
/wooyun.cdx

乌云上的IIS 6.0解析漏洞利用案例

http://www.wooyun.org/searchbug.php?q=IIS6.0

二、IIS 7.0/IIS 7.5/ Nginx <8.03畸形解析漏洞


Nginx解析漏洞这个伟大的漏洞是我国安全组织80sec发现的…

在默认Fast-CGI开启状况下,黑阔上传一个名字为wooyun.jpg,内容为

<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>

的文件,然后访问wooyun.jpg/.php,在这个目录下就会生成一句话木马 shell.php

这个漏洞案例

WooYun: 用友软件某分站SQL注入漏洞+nginx解析漏洞

WooYun: 新浪网分站多处安全漏洞(nginx解析+SQL注射等)小礼包

WooYun: kingsoft.com某x级域名nginx解析漏洞+爆路径

三、Nginx <8.03 空字节代码执行漏洞


影响版:0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37

Nginx在图片中嵌入PHP代码然后通过访问

xxx.jpg%00.php

来执行其中的代码

Nginx 空字节代执行漏洞案例

http://www.wooyun.org/searchbug.php?q=%2500.php

四、Apache解析漏洞


Apache 是从右到左开始判断解析,如果为不可识别解析,就再往左判断.

比如 wooyun.php.owf.rar “.owf”和”.rar” 这两种后缀是apache不可识别解析,apache就会把wooyun.php.owf.rar解析成php.

如何判断是不是合法的后缀就是这个漏洞的利用关键,测试时可以尝试上传一个wooyun.php.rara.jpg.png…(把你知道的常见后缀都写上…)去测试是否是合法后缀

Apache解析漏洞案例

http://www.wooyun.org/searchbug.php?q=apache%E8%A7%A3%E6%9E%90

五、其他


在windows环境下,xx.jpg[空格] 或xx.jpg. 这两类文件都是不允许存在的,若这样命名,windows会默认除去空格或点,黑客可以通过抓包,在文件名后加一个空格或者点绕过黑名单.若上传成功,空格和点都会被windows自动消除,这样也可以getshell。

如果在Apache中.htaccess可被执行.且可被上传.那可以尝试在.htaccess中写入: 

<FilesMatch "wooyun.jpg"> SetHandler application/x-httpd-php </FilesMatch>

然后再上传shell.jpg的木马, 这样shell.jpg就可解析为php文件。

©乌云知识库版权所有 未经许可 禁止转载


30
立志成为厨神的男人 2016-06-03 21:42:53

不知道现在还有出来其他解析漏洞吗 这些都流传比较广了 求老司机写续集

30
alert("xss") 2016-05-12 23:58:18

@昌维

30
情痴 2016-01-21 23:33:50

这个总结的很全面,谢谢大牛分享

30
backda0 2015-09-28 10:25:38

啊哟,这个屌

30
demo 2015-09-24 10:17:51

<FilesMatch "wooyun.jpg"> 这里写匹配的文件是wooyun.jpg

上传也是上传wooyun.jpg , 而不是shell.jpg , 笔误了

30
昌维 2015-05-05 17:26:50

最后一个长见识了

30
啊L川 2015-03-24 21:15:54

学习了

30
paidir 2015-01-29 14:44:17

学习了,总结的很好

30
风花雪月 2015-01-12 03:16:14

这些都知道,但是我想问 在 IIS8.0之中 该怎么办呢?刚才遇到这个问题,百度来乌云鸟!

30
springold 2013-09-17 10:05:24

写得不错。

30
Spongebob 2013-09-10 10:45:36

学习了

30
法海 2013-09-07 18:23:47

如果有写补救办法就更好了

30
SunnyJay 2013-09-05 10:58:23

求续集

30
龙臣 2013-09-04 22:44:41

很全面的说

30
Kavia 2013-09-04 22:35:00

求补充

30
xsser 2013-09-03 11:20:45

要是能够将更深层次的webserver处理请求的机制讲讲就更好啦

30
big、face 2013-09-02 21:33:52

学习了

30
大师哥 2013-09-02 17:02:38

写的很不错

30
园长 2013-09-02 12:44:48

不错,支持下。

感谢知乎授权页面模版