【文件上传漏洞-07】中间件文件解析漏洞概述及实例——Apache、IIS和Nginx

原创 已于 2022-07-24 13:50:58 修改
· 3.6k 阅读 · 34 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #文件上传 #中间件文件解析漏洞

于 2022-07-12 09:51:49 首次发布
本文详细探讨了Apache的未知扩展名解析漏洞、IIS的文件和目录解析漏洞、CGI-PHP漏洞,以及Nginx的空字节、文件名逻辑和CGI-PHP解析漏洞。通过实例演示和防御措施,帮助读者理解这些漏洞原理并提升安全防范能力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录


定义:解析漏洞主要是一些特殊文件被IIS、Apache、Nginx等服务在某种情况下 解释成脚本文件格式并得以执行而产生的漏洞。

1 Apache解析漏洞

1.1 概述

(1)第一种:未知扩展名解析漏洞
Apache对文件的解析主要是从右到左开始判断并进行解析,如果判断为不能解析的类型,则继续向左进行解析,如xx.php.wer.xxxxx将被解析为PHP类型。

(2)第二种:局部配置
通过分布式配置文件.htaccess文件进行局部配置,定义不同文件名及后缀的解析方式。参考《【文件上传漏洞-06】分布式配置文件攻击实验—以upload-labs-4为例

1.2 Apache解析漏洞实例

1.2.1 实验目的

(1)加深理解Apache的两种解析漏洞原理;
(2)掌握两种解析漏洞的检测及绕过方法。

1.2.2 实验环境

靶场:基于WAMP环境的upload-labs靶场。其中WAMP环境的部署可参考《【语言环境】WAMP环境部署及优化—以win2008R2SP1为操作系统》、upload-labs靶场的搭建可参考《【环境搭建-03】基于WAMP环境的upload-labs漏洞靶场的搭建》,请务必将PHP版本设置为小于5.3.4版本。

攻击机:使用真实机浏览器。

1.2.3 实验一:验证解析顺序漏洞

(1)真实机使用浏览器访问upload-labs靶场,进入第4关。点击“显示源码”或“查看提示”可以看到部分后缀被列入黑名单,结合之前的文章中,我们可以有以下几种思路:

  • 修改同类型后缀:先尝试将文件后缀名修改为同类型文件的后缀,比如将php修改为php5等,看看哪些后缀能成功执行文件代码,这样上传的文件就会在网站成功执行。
  • 修改为其他类型后缀:当文件后缀修改为其他类型后,往往无法顺利执行文件内代码,需要配合.htaccess修改局部配置。
  • 当中间件是Apache时,可以尝试利用其解析漏洞来绕过。当信息收集发现中间件为apache时,该方法建议优先于前两种进行测试。
    在这里插入图片描述
    在这里插入图片描述

(2)准备上传文件。新建一个txt文件,文件内容为<?php phpinfo(); ?>,并将其重命名为info.php.xxx。
(3)上传info.php.xxx文件。选择info.php.xxx,点击上传,可以看到文件已经成功上传,但是由于文件内容并非图片,所以在网页上不能成功解析。
在这里插入图片描述

(4)右键该图片,在新标签打开,代码执行失败(打开后一片空白,暂时找不到原因)。可以看到该文件图片的存储路径为:http://172.16.1.1/upload-labs/upload/info.php.xxx,并没有对文件名及其后缀名进行修改。
在这里插入图片描述

小结

  • 该解析漏洞绕过的方式需要网站中间件为apache;
  • 同时需要网站对上传文件名未做修改。

1.3 总结

文件上传漏洞第一个条件是文件成功上传且没能过滤掉恶意代码;第二个条件是让代码执行。
对于第一个条件,存在着前端JS检测绕过、服务端MIME类型绕过、服务端后缀名绕过、文件内容绕过等,其根本目的是要上传文件。
对于第二个条件,当中间件为Apache时:
(1)优先考虑绕过后缀名时采用恶意代码能够执行的后缀,这样文件能直接执行;
(2)其次考虑利用解析顺序漏洞执行该文件;
(3)最后才是考虑通过修改局部配置来执行。

2 IIS 解析漏洞

2.1 概述

2.1.1 文件解析漏洞

定义在iis6.0下,分号后面的不被解析,所以xx.asp;.jpg被解析为asp脚本得以执行。

防御:对所上传的文件重命名后再保存,比如,所上传的xx.asp;.jpg重命名为xxxxxx.jpg再保存。

2.1.2 目录解析漏洞

定义在网站下创建名字为.asp、.asa的文件夹,其下任何扩展名的文件都被IIS当做asp文件来解析并执行。攻击者利用该漏洞,创建文件夹并往文件夹内上传图片马,不需修改后缀名便可直接执行!

目录解析漏洞格式,例如: /xx.asp/xx.jpg。

适用版本:IIS 5.x/6.0。对于高版本暂未实验。

2.1.3 文件类型解析漏洞

定义:在 iis6.0 中,默认的可执行文件除了asp还包含这三种asacercdx

防御:黑白名单过滤时要全面。

2.1.4 CGI-PHP 解析漏洞

定义:该漏洞常见于IIS7.0、IIS7.5、Nginx <8.03等中间件+PHP环境,当浏览器采用1.jpg/.php的方式访问1.jpg文件时,jpg文件会以PHP程序执行。

原因:该漏洞的产生原因与中间件无关,主要是PHP配置上CGI.fix_pathinfo参数值默认为1,将其设置为0可以避免这个漏洞。
在这里插入图片描述

cgi.fix_pathinfo参数作用:看名字就知道是对文件路径进行“修理”。何谓“修理”?举个例子,当php遇到文件路径“/aaa.xxx/bbb.yyy/ccc.zzz”时,若“/aaa.xxx/bbb.yyy/ccc.zzz”不存在,则会去掉最后的“/ccc.zzz”,然后判断“/aaa.xxx/bbb.yyy”是否存在,若存在,则把“/aaa.xxx/bbb.yyy”当做文件“/aaa.xxx/bbb.yyy/ccc.zzz”,若“/aaa.xxx/bbb.yyy”仍不存在,则继续去掉“/bbb.yyy”,以此类推。

2.2 IIS 解析漏洞实例

2.2.1 实验目的

加深对IIS几种解析漏洞的理解;
掌握漏洞的检验及利用方法。

2.2.2 实验环境

2.2.2.1 实验环境一:IIS6.0

(1)由于没有找到方便直接使用的靶场环境,此处新建一个网站来作为靶场。

(2)

最低0.47元/天 解锁文章
渗透测试之中间件解析
weixin_45380284的博客
03-06 789
中间件解析漏 (一)IIS5.x-6.x解析漏洞 使用iis5.x-6.x版本的服务器,大多为windows server 2003,网站比较古老,开发语句一般为asp;该解析漏洞也只能解析asp文件,而不能解析aspx文件。 目录解析(6.0) 形式:www.xxx.com/xx.asp/xx.jpg 原理: 服务器默认会把.asp,.asa目录下的文件解析成asp文件文件解析 形式:www.xxx.com/xx.asp;.jpg 原理:服务器默认不解析;号后面的内容,因此xx.asp;.jpg便被
【网络安全】网站中间件存在的解析漏洞
你在看屏幕的同时,屏幕也在注视着你
07-24 1843
常见的中间件解析漏洞
中间件解析漏洞(服务器配置错误)
m0_69043895的博客
04-06 1822
AddType :在给定的文件扩展名与特定的内容类型之间建立映射AddType 是与类型表相关的,描述的是扩展名与文件类型之间的关系,例如:AddType application/x-httpd-php .jpg ,表示 .jpg 扩展名的文件就是 application/x-httpd-php 类型的。也就是说 php3 , php4 , php5 , pht , phtml 等文件后缀也是可以被当作 php 文件进行解析的。上传成功后直接访问,此时可以看到,info.php.uiottd已经成功执行。
文件解析常见漏洞总结,从零基础到精通,收藏这篇就够了!
最新发布
yy1715713348的博客
04-10 694
文件解析漏洞,说白了就是网站管理员骚操作或者Web容器自己抽风,把一些奇葩格式的文件当成脚本执行了。这就像把二哈当警犬使,不出事才怪!黑客就喜欢这种漏洞,能让他们偷偷摸摸搞事情。今天咱就来扒一扒那些年我们一起追过的Web中间件文件解析漏洞,看看它们都是怎么翻车的。用着6.x版本的服务器,那都是Windows Server 2003的老爷爷了,网站也都是上了年纪的,一般都用ASP开发。所以,这解析漏洞也就只能解析ASP文件,想解析ASPX?没门!
中间件文件解析漏洞
weixin_44157145的博客
01-11 1080
iis6x文件解析漏洞 该版本默认将*.asp;.jpg 此种格式的文件名,当成Asp解析。服务器默认不解析 ; 号及其后面的内容,相当于截断。 iis除了会将asp解析成脚本执行文件之外,还会将 cer cdx asa扩展名解析成asp。 iis7x文件解析漏洞 IIS7.x版本在Fast-CGl运行模式下,在任意文件,例:a001.jpg/png后面加上/.php,会将a001.jpg/png解析为php文件apache未知扩展名解析漏洞 Apache默认一个文件可以有多个以点分割的后缀,当最右
中间件解析漏洞
土拨鼠挖洞中的博客
10-04 5570
  IIS IIS解析漏洞 IIS 6.0解析利用方法有两种: 1:文件解析IIS6.0下,分号,冒号后面的不被解析,也就是说 wooyun.asp;123.jpg会被服务器看成是wooyun.asp 以下格式也会被解析:*.asa、*.asp,*.cer;*.cdx   2:目录解析 当建立*.asa、*.asp格式的文件夹时,其目录下的任意文件都将被IIS当作asp文件...
文件上传中间件解析漏洞
m0_63527265的博客
04-25 394
例如text.php.aaa.ccc apache服务器会从右到左依次解析 根据mime.types里面的文件后缀(在Linux里面位于/etc/mime.types,在Windows下,该文件位于apache的安装路径/conf/mime.types)又或者是text.php.html.xxx, apache服务器会从右向左读到html,表示认识就不继续了 把text.php.html.xxx认为是text.html。还有一种是访问 aaa.php.xxx这种不是php程序的文件,会触发500错误。
护网面试-JAVA漏洞中间件
qq_52579508的博客
04-17 602
中间件IIS漏洞IIS PUT漏洞IIS Server 在 Web 服务扩展中开启了 WebDAV ,配置了可以写入的权限,造成任意文件上传。版本:IIS6.0短文件名猜解漏洞IIS的短文件名机制,可以暴力猜解短文件名,访问构造的某个存在的短文件名,会返回404,访问构造的某个不存在的短文件名,返回400。局限性1) 此漏洞只能确定前6个字符,如果后面的字符太长、包含特殊字符,很难猜解;2) 如果...
day33WEB 攻防-通用漏洞&amp;文件上传&amp;中间件解析漏洞&amp;编辑器安全
2301_79985178的博客
06-19 827
1、中间件安全问题2、中间件文件上传解析3Web应用编辑器上传后门代码需要用特定格式后缀解析,不能以图片后缀解析脚本后门代码解析漏洞除外如:jpg图片里面有php后门代码,不能被触发,所以连接不上后门如果要图片后缀解析脚本代码,一般会利用包含漏洞解析漏洞,还有1,看中间件是什么,有没有报出过漏洞2,看文件上传是引用外部的编辑器还是程序员自己编写,如果是引用外部的编辑器就看是什么编辑器,然后查看此编辑器有没有爆出过漏洞,是否可以利用。
小迪安全33WEB 攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全
weixin_73760178的博客
03-07 1296
那么当我们写入1.php.jpg时,表面上的图片,但由于管理员的配置,所以会将此文件解析为php。上传带有后门的图片,再后面输入/*.php(*指任意),即可被执行。此时发现,原本的图片被解析为.asp格式,因此也可以从此进行利用。因此我们可以利用文件上传,上传此文件类型,访问图片,生成后门。、绕过技巧:多后缀解析,截断,中间件特性,条件竞争等。1.上传文件能不能修改上传目录或上传的文件名能增加命名。上传文件,在后面Hex里修改相关参数,进行绕过过滤。此时的图片是可以正常运行的,是一个正常的图片形式。
WEB | 文件上传漏洞
weixin_47982238的博客
10-13 1060
今天在攻防世界做了一道关于文件上传webCTF题,就想着系统地把文件上传漏洞的知识点整理一下,方便日后查阅。 什么是文件上传文件上传包括了上传头像,上传相册,上传附件,添加新闻图片,自定义主题背景,新闻投稿等等,一个很简单的栗子就是微信或者QQ的头像上传功能,或者上传到百度云这种 什么是文件上传漏洞文件上传漏洞是指由于程序员未对上传的文件进行严格的验证过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这
文件上传中间件解析漏洞详解
永远是少年
10-01 2646
今天继续给大家介绍渗透测试相关知识,本文主要内容是文件上传中间件解析漏洞详解。 一、IIS解析漏洞 二、Apache解析漏洞 三、Nginx解析漏洞
文件上传漏洞07文件截断绕过攻击实验(基于upload-labs-11、12靶场)
Fighting_hawk的博客
03-04 3242
1. 思路:先寻找一切可以突围绕过的机会让文件上传,再寻找机会让文件能够被执行。 2. 掌握00阶段上传文件的方法,同方法同样有可能适用于文件下载的情况。
文件上传”配合中间件解析漏洞
ran的博客
02-01 524
2013年底,nginx再次爆出漏洞(CVE-2013-4547),此漏洞可导致目录跨越及代码执行,主要原因是nginx因为00截断错误地解析了请求的 URI ,将获取到用户请求的文件解析为对应的脚本程序,导致出现权限绕过、代码执行等连带影响,从而实现getshell的过程。在网址后面随便添加以“.php”结尾的内容,即可触发解析漏洞,返回了以下错误信息,因为我们刚刚上传的图片是随便选择的,里面并没有加入恶意代码。如果在数据包里“/”后添加一个“1a”,那么文件名内就也会多出一个“1a”。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值