“文件上传”配合中间件“解析漏洞”

╰+攻爆jí腚メ 2023-09-23 23:11 127阅读 0赞

一、总导图

二、IIS

<—-IIS/6.0—->

查看路径

登陆站点。

输入下面的站点后回车。

访问后会自动跳转到以下站点，并且要求输入账号以及密码。

登陆后台后可以看到下面页面。

登陆后台后再次访问下面站点，此时网站就不会跳转了。

选择文件进行上传后抓包可以看到其版本是“IIS/6.0”

根据文章最开始的思维导图可知其存在以下漏洞。

解释：
文件夹
正常：image/qq.jpg
执行：image.asp/qq.jpg   
qq.jpg就会被当做asp解析执行
文件
正常：image.jpg
执行：image.asp;jpg或image.asp;image.jpg 
image.jpg 就会被当做asp解析执行
asp可以换做php 如果换了php 那么就当php执行

如果在数据包里“/”后添加一个“1”，那么文件名内就也会多出一个“1”。

如果在数据包里“/”后添加一个“1a”，那么文件名内就也会多出一个“1a”。

如果在数据包里“/”后添加一个“x.asp;.”，那么文件名内就也会多出一个“x.asp;.”。

此时就满足触发了下面的规则，代码就会被当作asp执行。

放包后访问文件地址后返回了以下错误信息，因为我们刚刚上传的图片是随便选择的，里面并没有加入恶意代码。

如果正常执行，不当作asp执行的话，网页就会返回正常内容。

返回正常内容如下。

在服务端可以看到刚刚上传上去的文件显示的均为图片格式，但是画绿色框出的文件就触发了解析楼哦对那个。

<—-IIS/7.5—->

这个漏洞和Nginx非常相似。
启动靶场环境（这里使用“Vulhub搭建漏洞测试靶场“）。

查看ip。

查看端口。

进入靶场网页。

查看版本

制作一个图片马。

将图片上传后，得到了图片的路径信息。

访问图片路径，路径后面加上“/.php”。

可以看到图片马内的php语句被成功执行了。

三、Nginx

<—-解析漏洞—->

启动靶场环境

查看ip地址。

查看端口信息。

访问网址（因为默认就是80端口，所以就没写端口号）。

查看其中间件及版本是“nginx/1.17.8”。

随便上传一个文件，可以得到路径信息。

访问图片路径，可以正常访问，可以确定上传成功了。

在网址后面随便添加以“.php”结尾的内容，即可触发解析漏洞，返回了以下错误信息，因为我们刚刚上传的图片是随便选择的，里面并没有加入恶意代码。

创建一个图片一句话后门代码。

同样的方法上传访问后可以发现图片内的恶意代码被成功执行了。

<—-换行解析—->

Nginx文件名逻辑漏洞(CVE-2013-4547)

漏洞说明

2013年底，nginx再次爆出漏洞（CVE-2013-4547），此漏洞可导致目录跨越及代码执行，主要原因是nginx因为00截断错误地解析了请求的 URI ，将获取到用户请求的文件名解析为对应的脚本程序，导致出现权限绕过、代码执行等连带影响，从而实现getshell的过程。

影响版本

Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

启动靶场环境（这里使用“Vulhub搭建漏洞测试靶场“）。

查看ip。

查看端口。

访问网页后查看版本，发现是nginx/1.4.2，在漏洞影响范围内。

上传一个“1.gif ”，注意后面的空格，抓包。

将Hex部分如下内容进行修改，访问http://your-ip:8080/uploadfiles/1.gif[0x20][0x00].php，即可发现PHP已被解析。

四、Apache

<—-低版本—->

启动服务。

查看端口号。

访问站点，发现有两个文件。

打开第一个（phpinfo.php）。

打开第二个（phpinfo.php.xxx）。

可以看到两个不同的后缀名执行的都是php代码。
打开“.xxx”后缀的文件可以发现其内部代码为php代码。

因此可以知道“.php.xxx”后缀名的文件是当作php文件解析的，这就是Apache的解析漏洞，即如果后缀名不识别就向上解析。

解释：
x.php.xxx.yyy

识别最后的yyy，
识别不认识，
向前解析，
直到识别，
xxx也不认识，
最后识别到的是php。

利用场景：
如果对方中间件apache属于低版本，
我们可以利用文件上传，
上传一个不识别的文件后缀，
利用解析漏洞规则成功解析文件来使文件中的后门代码被执行。

<—-换行解析—->

Apache HTTPD 换行解析漏洞（CVE-2017-15715）

Apache在2.4.0-2.4.29版本中存在一个解析漏洞。
程序在解析PHP时，如果文件名最后有一个换行符“x0A”，apache依然会将其当成php解析，但是在上传文件时可以成功的绕过黑名单。
如果上传文件的php程序是设置的白名单，那么这个漏洞将无法利用。
启动靶场环境（这里使用“Vulhub搭建漏洞测试靶场“）。

查看ip。

查看端口。

访问网页后上传一个名为“1.php”的文件，发现被拦截了。

在“1.php”后面插入一个“\x0A“（注意：不能是\x0D\x0A，只能是一个\x0A），发现不再被拦截了。

访问刚才上传的“/1.php%0a”，发现能够成功解析，但这个文件不是php后缀，说明目标存在解析漏洞。

发表评论取消回复

表情：

评论列表（有 0 条评论，127人围观）

还没有评论，来说两句吧...

相关阅读

相关文件上传漏洞详解

0x01 上传漏洞定义文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的，“文件上传”本身没有

左手的ㄟ右手/ 2024年04月07日 10:49/ 0 赞/ 161 阅读

相关网络安全，上传漏洞——文件解析漏洞

IIS5.x/6.0 目录解析上传文件时先创建一个后缀名为相应脚本的文件夹（如：“xx.aps”，“xx.php”等。作用：该文件夹下的任何文件作为aps或php文件执行

绝地灬酷狼/ 2024年02月18日 09:34/ 0 赞/ 120 阅读

相关 “文件上传”配合中间件“解析漏洞”

一、总导图 ![f2737d9dc96046ed91a3c98a3b89a81c.png][] 二、IIS <---IIS/6.0---> 1. 查看路径

╰+攻爆jí腚メ/ 2023年09月23日 23:11/ 0 赞/ 128 阅读

相关解析漏洞——中间件

目录解析漏洞简介解析漏洞 1、IIS 5.x/6.0解析漏洞文件 1.html

矫情吗；*/ 2022年11月29日 11:23/ 0 赞/ 215 阅读

相关 S-文件上传漏洞汇总

文件上传汇总简介 > 文件上传漏洞是 web 安全中经常利用到的一种漏洞形式。一些 web 应用程序中允许上传图片，文本或者其他资源到指定的位置，文件上传漏洞就是

分手后的思念是犯贱/ 2022年10月14日 01:21/ 0 赞/ 296 阅读

相关 Django静态文件处理、中间件、上传文件

Django静态文件处理、中间件、上传文件静态文件处理在Django中，一般专门创建一个static目录来存放静态文件（css,js,image,video等文

男娘i/ 2022年06月06日 09:11/ 0 赞/ 297 阅读

相关文件上传漏洞概述

文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力，这种攻击方式是最为直接和有效的，有时候几乎没有什么技术门槛。文件上传后导致的常

墨蓝/ 2022年05月13日 08:00/ 0 赞/ 282 阅读

相关文件上传漏洞

mark，此博主写的很全面了：[https://thief.one/2016/09/22/上传木马姿势汇总-欢迎补充/][https_thief.one_2016_09_22_

怼烎@/ 2022年01月29日 08:07/ 0 赞/ 316 阅读

相关预防文件上传漏洞

预防文件上传漏洞 1.为了防范用户上传恶意的可执行文件和脚本，以及将文件上传服务器当做免费的文件存储服务器使用，需要对上传的文件类型进行白名单(非黑名单，这点非常重要)校

川长思鸟来/ 2021年11月22日 09:24/ 0 赞/ 417 阅读

相关 Django-静态、媒体文件，文件上传，分页和中间件

一、静态文件与媒体文件 > 媒体文件：用户上传的文件，叫做media > 静态文件：存放在服务器上的js,css,image等文件，叫做静态文件 1. 在djan

本是古典何须时尚/ 2021年11月09日 00:14/ 0 赞/ 453 阅读