解析漏洞的原理：

發(fā)表時(shí)間：2020-10-19

發(fā)布人：葵宇科技

瀏覽次數(shù)：64

解析漏洞的原理：

解析漏洞是指web服務(wù)器因?qū)ttp請求處理不當(dāng)導(dǎo)致將非可執(zhí)行
的腳本，文件等當(dāng)做可執(zhí)行的腳本，文件等執(zhí)行。該漏洞—般配
合服務(wù)器的文件上傳功能使用，以獲取服務(wù)器的權(quán)限。

常見的解析漏洞

(一)IIS5.x-6.x解析漏洞

使用iis5.x-6.x版本的服務(wù)器，大多為windows server 2003，網(wǎng)站比較古老，開發(fā)語句一般為asp;該解析漏洞也只能解析asp文件，而不能解析aspx文件。

1）目錄解析(6.0)

形式：www.xxx.com/xx.asp/xx.jpg

原理: 服務(wù)器默認(rèn)會把.asp，.asp目錄下的文件都解析成asp文件。

2）文件解析

形式：www.xxx.com/xx.asp;.jpg

原理：服務(wù)器默認(rèn)不解析;號后面的內(nèi)容，因此xx.asp;.jpg便被解析成asp文件了。

3）解析文件類型

IIS6.0 默認(rèn)的可執(zhí)行文件除了asp還包含這三種 :

/test.asa
/test.cer
/test.cdx

(二)IIS7.5解析漏洞

IIS7.5的漏洞與nginx的類似，都是由于php配置文件中，開啟了cgi.fix_pathinfo，而這并不是nginx或者iis7.5本身的漏洞。

(三)apache解析漏洞

漏洞原理

Apache 解析文件的規(guī)則是從右到左開始判斷解析,如果后綴名為不可識別文件解析,就再往左判斷。比如test.php.qwe.asd “.qwe”和”.asd” 這兩種后綴是apache不可識別解析,apache就會把wooyun.php.qwe.asd解析成php。

漏洞形式

www.xxxx.xxx.com/test.php.php123

其余配置問題導(dǎo)致漏洞

(1)如果在 Apache 的 conf 里有這樣一行配置 AddHandler php5-script .php 這時(shí)只要文件名里包含.php 即使文件名是 test2.php.jpg 也會以 php 來執(zhí)行。

(2)如果在 Apache 的 conf 里有這樣一行配置 AddType application/x-httpd-php .jpg 即使擴(kuò)展名是 jpg，一樣能以php 方式執(zhí)行。

修復(fù)方案

1.apache配置文件，禁止.php.這樣的文件執(zhí)行，配置文件里面加入

2.用偽靜態(tài)能解決這個(gè)問題，重寫類似.php.*這類文件，打開apache的httpd.conf找到LoadModule rewrite_module modules/mod_rewrite.so

把#號去掉，重啟apache,在網(wǎng)站根目錄下建立.htaccess文件

(四)Nginx解析漏洞

漏洞原理

Nginx默認(rèn)是以CGI的方式支持PHP解析的，普遍的做法是在Nginx配置文件中通過正則匹配設(shè)置SCRIPT_FILENAME。當(dāng)訪問www.xx.com/phpinfo.jpg/1.php這個(gè)URL時(shí)，$fastcgi_script_name會被設(shè)置為“phpinfo.jpg/1.php”，然后構(gòu)造成SCRIPT_FILENAME傳遞給PHP CGI，但是PHP為什么會接受這樣的參數(shù)，并將phpinfo.jpg作為PHP文件解析呢?這就要說到fix_pathinfo這個(gè)選項(xiàng)了。如果開啟了這個(gè)選項(xiàng)，那么就會觸發(fā)在PHP中的如下邏輯：

PHP會認(rèn)為SCRIPT_FILENAME是phpinfo.jpg，而1.php是PATH_INFO，所以就會將phpinfo.jpg作為PHP文件來解析了

漏洞形式

www.xxxx.com/UploadFiles/image/1.jpg/1.php

www.xxxx.com/UploadFiles/image/1.jpg%00.php

www.xxxx.com/UploadFiles/image/1.jpg/%20\0.php

另外一種手法：上傳一個(gè)名字為test.jpg，然后訪問test.jpg/.php,在這個(gè)目錄下就會生成一句話木馬shell.php。