一、IIS 6.X
1.在网站目录创建文件夹名为xxx.asp/xxx.asa 文件夹,里面的任意文件都会被当作asp文件执行
创建1.asp
访问
2.ooo.asp.jpg会被当做asp文件执行
创建一个ooo.asp;.jpg
访问
二、IIS 7.X
上传1.jpg文件在网址后+/.php可以成功执行
写一个1.jpg文件内容如下上传到目标站点
访问http://网址/1.jpg/.php访问成功
三、Nginx解析漏洞
1.nginx_parsing(会在文件后加/.php会以php文件格式打开)
下载Vulhub并打开容器,访问网址。
提交一个php文件上传失败
将文件格式改为jpg上传
再次失败,在文件中加一个图片格式头,再次上传
成功上传
访问上传文件
复制木马网址使用蚁剑连接(连接成功)
2.CVE-2013-4547(此漏洞为文件名逻辑漏洞,该漏洞在上传图片时,修改其16进制编码可使其绕过策略,导致解析为php。当Nginx得到一个用户请求时,首先对url进行解析,进行正则匹配,如果匹配到以.php后缀结尾的文件名,会将请求的PHP文件交给PHP-CGI去解析。)
访问网址上传一个jpg文件
打开抓包在jpg文件末尾加两个空格.php
在hex中将空格的20 20 改为 20 00放包
访问木马网址+(空格空格.php)抓包将url编码后的空格改为空格
将第二哥空格的hex值改为00放包
访问成功
访问我们生成的木马
复制网址使用蚁剑连接
四、Apache解析漏洞
1.apache读取后缀从右往左,允许文件有多个后缀名,当他识别不了文件名才会继续向左识别
利用这个原则我们创建一个1.php.jpg上传
上传成功
访问木马网址
复制网址使用蚁剑连接
2.CVE-2017-15715(Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。)
上传php文件抓包
在evil.php后加空格 将hex值改为0a
访问 网址 /evil.php%0a
使用蚁剑连接