爱吃仡坨的Blog

判断是否为黑白名单，如果是白名单 寻找可控参数。如果是黑名单禁止上传，可以用有危害的后缀名批量提交测试，查找未加入黑名单的执行脚本。

通过nmap扫描得到的信息我们发现目标开放了80和8080服务，通过验证80端口的web服务没有利用点属于纯静态页面；但是可以遍历出一些信息便于我们之后构造爆破字典8080的http服务我们可以尝试爆破获取其username，password。

我们随便输入一个内容，只有一个登陆失败的图片并没有带有sql语法的报错回显通过构造一个错误的语法ggbond'单引号；发现有sql语句的错误回显；我们可以判断出此登陆界面是通过单引号闭合的构造一个恒成立的sql语句，发现爆出其登陆的用户名和密码通过orderby函数判断出有两个字段通过union查询 爆出其字段所在位置，如图所示。

此漏洞是利用了Nginx解析了错误的URl地址，使得绕过服务端限制解析了php文件，造成命令执行的危害php-fpm.conf中的security.limit_extensions为空使得任意后缀都可以被解析Nginx服务器将名为ggbond.php[0x20][0x00].php文件发给fastCGI，然而fastcgi在接受此文件时候只读取到ggbond.php[0x20][0x00];

此漏洞是利用了Nginx解析了错误的URl地址，使得绕过服务端限制解析了php文件，造成命令执行的危害php-fpm.conf中的security.limit_extensions为空使得任意后缀都可以被解析Nginx服务器将名为ggbond.php[0x20][0x00].php文件发给fastCGI，然而fastcgi在接受此文件时候只读取到ggbond.php[0x20][0x00];

Apache HTTP Server 2.4.50版本对CVE-2021-41773的修复可以避免一次url编码导致的路径穿越，但是由于在请求处理过程中，还会调用ap_unescape_url函数对参数再次进行解码，使得需进行两次解码，但即使这样仍然会导致路径穿越。

Apache HTTP Server 2.4.49版本使用的ap_normalize_path函数在对路径参数进行规范化时会先进行url解码，然后判断是否存在../的路径穿越符当检测到路径中存在%字符时，如果紧跟的2个字符是十六进制字符，就会进行url解码，将其转换成标准字符，如%2e->.，转换完成后会判断是否存在../。

CVE-2017-15715 即为换行解析漏洞，此漏洞存在于Apache 2.4.0 - 2.4.29版本中；在解析PHP时，服务器会将shell.php%0a后缀之后带有空格的文件按照php后缀解析，从而可以绕过服务器的安全策略。

apahe解析文件时候有一特性，Apache默认一个文件可以有多个以点分割的后缀，apache会从最右边开始识别其后缀名，如遇无法识别的后缀名则依次往左进行识别如果运维人员给.php后缀的文件添加了处理程序 `AddHandler application/x-httpd-php .php` 那么在有多个后缀的情况下，只要文件含有.php后缀那么该文件就会被识别为PHP文件进行解析。该漏洞和apache版本和php版本无关,属于用户配置不当造成的解析漏洞,

1、利用标记，构造标签执行JavaScript的xss代码2、利用html标签属性支持Javascript:script()伪协议（支持标签属性的有href、lowsrc、bgsound、background、value、action、dynsrc等）、执行xss代码3、利用JavaScript在引号中只用分号分割单词或强制语句结束，用换行符忽略分号强制结束一个完整的语句，而忽略回车、空格、tab等键、绕过对javascript的关键字过滤，