常用的一些可执行的文件脚本后缀:.php .php2 .php3 .php5 .phtml.asp .aspx .ascx .ashx.cer.jsp .jspx
在上传的文件中使用一些特殊的符号,使得文件被上传到服务器中时路径被截断从而控制文件路径。常用的进行文件路径截断的字符如下:• • ?• 在可以控制文件路径的情况下,使用超长的文件路径也有可能会导致文件路径截断。
.htaccess文件攻击.htaccess文件攻击即结合黑名单攻击服务器的 .htaccess文件 。通过move_uploaded_file函数把自己写的 .htaccess文件覆盖掉服务器上的这样就可以解析定义名单了。.htaccess文件用处:通过.htaccess文件调用php解释器去解析一个文件名中只要包含“haha”这个字符串的任意文件,无论你文件名是什么样子,只要包含”haha”这个字符串,都可以被以php的方式来解析。.htaccess文件内容:
代码语言:javascript复制SetHandler application/x-httpd-php
Apache解析漏洞test.php.aaa.bbb.ccc任意不属于黑名单且不属于Apache解析白名单之内的后缀名。
代码语言:javascript复制WampServer2.0All Version (WampServer2.0i / Apache 2.2.11) [Success]
WampServer2.1All Version (WampServer2.1e-x32 / Apache 2.2.17) [Success]
Wamp5 All Version (Wamp5_1.7.4 /Apache 2.2.6) [Success]
AppServ 2.4All Version (AppServ - 2.4.9 /Apache 2.0.59) [Success]
AppServ 2.5All Version (AppServ - 2.5.10 /Apache 2.2.8) [Success]
AppServ 2.6All Version (AppServ - 2.6.0 /Apache 2.2.8) [Success]
IIS7.0/7.5是对php解析时有一个类似于Nginx的解析漏洞, 对任意文件名只要在URL后面追加上字符串"/任意文件名.php"就会按照 php 的方式去解析eg:”/1.php”
任意文件名/任意文件名.php | 任意文件名 .php
目前 Nginx 主要有这两种漏洞:• 一个是对任意文件名,在后面添加/任意文件名.php的解析漏洞,比如原本文件名是 test.jpg,可以添加为 test.jpg/x.php 进行解析攻击。• eg: “/1.php”• 一种是对低版本的 Nginx 可以在任意文件名后面添加 .php进行解析攻击。
代码语言:javascript复制Nginx 0.5.*• Nginx 0.6.*
• Nginx 0.7 <= 0.7.65
• Nginx 0.8 <= 0.8.37
以上Nginx容器器的版本下,上传⼀一个在waf白名单之内扩展名的⽂文件1.jpg,然后以1.jpg .php进行请求。
• Nginx 0.8.41 – 1.5.6:
• 以上Nginx容器器的版本下,上传⼀一个在waf白名单之内扩展名的⽂文1.jpg,然后以1.jpg .php进行请求
路径/拓展名检绕过• 黑名单绕过• 文件名大小写绕过• 名单列表绕过• 特殊文件名绕过• 0x00截断绕过•.htaccess文件攻击• Apache解析漏洞• IIS解析漏洞• Nginx解析漏洞
• 白名单绕过• 文件名后缀0x00截断绕过• PHP文件包含漏洞• IIS解析漏洞• Nginx解析漏洞