网络安全进阶学习第六课——服务器解析漏洞

news2024/9/25 23:20:02

文章目录

1、概念
2、Apache解析漏洞 CVE-2017-15715
3、Apache AddHandler解析漏洞
4、IIS6 解析漏洞（`;`）
5、IIS6 解析漏洞（`*.asp/目录`）
6、IIS7 解析漏洞（ISAP或CGI的模式下）
7、nginx解析漏洞（cgi.fix_pathinfo）
8、nginx解析漏洞（%00空字节）
9、总结
- 1）轻量级检测绕过
- 2）路径/文件扩展名检测绕过
- 3）文件内容检测方式

1、概念

解析漏洞主要是一些特殊文件被Apache、IIS、Nginx等Web服务器在某种情况下解释成脚本文件格式并得以执行而产生的漏洞

2、Apache解析漏洞 CVE-2017-15715

影响范围：2.4.0~2.4.29版本

此漏洞形成的根本原因，在于 $, 正则表达式中$ 不仅匹配字符串结尾位置，也可以匹配\n 或 \r ，在解析PHP时，1.php\x0A将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。

上传文件test.php. 抓包修改 php后面的点(2e) 为换行(0a)
访问 test.php%0a

3、Apache AddHandler解析漏洞

Apache默认一个文件可以有多个后缀名，每次识别从右到左识别，当最右边的后缀无法识别时，则继续向左识别。mime.types中记录apache可识别的后缀名。

添加AddHandler，使得任何文件只要包含.php后缀名的文件都会被当作php文件解析为了使php文件可以被解析，用户自己添加了AddHandler：AddHandler application/xhttpd-php .php

4、IIS6 解析漏洞（`;`）

基于文件名：该版本默认会将*.asp;.jpg此种格式的文件名，当成asp解析。

原理是服务器默认不解析 ; 号及其后面的内容相当于截断。

5、IIS6 解析漏洞（`*.asp/目录`）

基于文件夹名，该版本默认会将 *.asp/目录下的所有文件当成asp解析。

当在网站下建立文件夹的名字为*.asp、*.asa、*.cer、*.cdx 的文件夹，那么其目录内的任何扩展名的文件都会被IIS当做asp文件来解释并执行。

注意：微软不认为这一个是漏洞，因为正常情况下，是无法创建 *.asp 命名的文件夹的。

6、IIS7 解析漏洞（ISAP或CGI的模式下）

服务器是使用IIS7环境，并且在ISAP或CGI的模式下，在任意文件，如test.jpg后面加上 /.php ，会自动将test.jpg解析为php文件。

例如：127.0.0.1/test.jpg/.php 会被解析成 127.0.0.1/test.php

7、nginx解析漏洞（cgi.fix_pathinfo）

nginx查看url，得到.php结尾，将路径传递给php fastcgi处理程序,nigin传递给php的路径为
在这里插入图片描述

php根据url映射，在服务器寻找xxx.php文件，但是xxx.php文件不存在，由于cgi.fix_pathinfo是默认开启。php会继续检查路径存在的文件，并将多余部分当作PATH_INFO，接着找到文件存在.jpg文件，后以php形式执行.jpg内容，并将/xxx.php 存储在PATH_INFO后丢弃。
在这里插入图片描述

举例来说：
1）上传了一个图片木马文件：upload/1.jpg
2）然后访问方式是：upload/1. jpg /1.jlkk/1.php
3）这时后系统会从后面开始找，先去找1.php，没找到；接着往前找1.jlkk，也没找到；再往前找1. jpg，找到了。
4）系统就会把找到的1.jpg来当成是最后的一个1.php来当成PHP文件执行。