接着前面的第二篇写
IIS6.0解析漏洞(一)
IIS6.0解析漏洞其实是一些IIS6.0的一些特性,严格意义上而言,只是一些默认配置并不是漏洞但是也存在一些漏洞。
IIS6.0除了将ASP后缀当做ASP进行解析的同时,当文件后缀名字为.asa .cer .cdx也会当做asp去解析,这是因为IIS6.0在应用程序扩展中默认设置了.asa .cer .cdx都会调用asp.dll
比如我们在配置里面加入.mochu使用asp.dll解析,就可以成功的解析example.mochu
这题做法只需上传一张做好的asp一句话图片然后抓包,修改后缀为.cer或.asa或.cdx,即可
IIS6.0解析漏洞(二)
IIS6.0和IIS7.5无此漏洞。
IIS6.0在处理含有特殊符号的文件路径时会出现逻辑错误,从而造成文件解析漏洞。这一漏洞有两种完全不同的利用方式:
test.asp;.jpg会被当做asp进行解析
test.asp/123.jpg也会被当做asp进行解析
请求/aaa.asp;xxxx.jpg
1.从头部查找’.'号,获得.asp;xxxx.jpg
2.查找’;'号,如果有则内存截断
3.查找’/’,如果有则内存截断
最终将保留下来.asp字符串,从META_SCRIPT_MAP脚本映射表里与扩展名匹配对比,并反馈给了asp.dll处理
使用任意一种绕过方法,抓包改包
发送即可上传成功,连接木马。
IIS6.0解析漏洞(三)
我们先上传一张图片看一下
a.asp/shell.jpg也会被当做asp进行解析
发现这里有一个a.asp文件夹,而我发现在这文件夹下,任意问价都会当做asp文件解析。所以这几访问即可连接。
解析漏洞(四)
CGI解析漏洞
Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则匹配设SCRIPT_FILENAME
当访问www.xx.com/phpinfo.jpg/1.php这个url时,$fastcgi_script_name会被设置“phpinfo.jpg/1.php”,然后构造成SCRIPT_FILENAME(绝对路径)传递给PHPCHI如果开启了fix_pathinfo选项,那么就会触发在PHP中的逻辑:
PHP会认为SCRIPT_FILENAME(绝对路径)是phpinfo.jpg,而1.php是PATH_INFO,所以会phpinfo.jpg作为一个PHP文件进行解析。
也是一个逻辑问题,所以我们只需要在正常的.jpg后面加上/.php就可以成功绕过解析。
思路就是在上传的一句话木马的图片后加/.php然后就会当做php执行
来源:CSDN
作者:mochu7777777
链接:https://blog.csdn.net/mochu7777777/article/details/104572330