Web安全 - 解析漏洞

时间 2019-12-07

标签 web 安全解析漏洞栏目 HTML 繁體版

原文原文链接

1、原理

解析漏洞主要是一些特殊文件被Apache、IIS、Nginx等Web容器在某种状况下解释成脚本文件格式并得以执行而产生的漏洞。php

2、Apache

1. 多后缀解析

一个文件名为 test.x1.x2.x3 的文件，Apache会从x3的位置往x1的位置开始尝试解析，若是x3不属于 Apache解析的扩展名，那么Apache会尝试去解析x2，这样一直往前尝试，直到遇到一个能解析的扩展名为止。html

例如：Web应用限制了php等敏感后缀，咱们经过能够上传一个文件名为 test.php.jpg 的文件，访问时，Apache会由于没法解析jpg，而向前寻找能够解析的后缀，这时便找到php，那么按照php文件进行正常解析，从而使木马被执行。正则表达式

2. 其余后缀解析

<FilesMatch ".+\.ph(p[345]?|t|tml)$">
    SetHandler application/x-httpd-php
</FilesMatch>

".+\.ph(p[345]?|t|tml)$" 该正则表达式匹配的不只仅有php，还有php三、php四、php五、pht和phtml，这些都是Apache和php承认的php程序的文件后缀。若是网站仅对php进行了防御，那么咱们能够改成这些不大常见的后缀，一样完成解析。服务器

例如：test.php3 、 test.pt 、 test.ptmlapp

3. .htaccess解析

htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。经过htaccess文件，能够帮咱们实现：网页301重定向、自定义404错误页面、改变文件扩展名、容许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

启用.htaccess，须要修改httpd.conf，启用AllowOverride，并能够用AllowOverride限制特定命令的使用。

若是在Apache中.htaccess可被执行.且可被上传.那能够尝试在.htaccess中写入：AddType application/x-httpd-php xxx ，这时上传.xxx后缀的文件，就会当成php解析。ide

或者网站

<FilesMatch "test.jpg">
    SetHandler application/x-httpd-php
  </FilesMatch>

当Web应用匹配到名为 test.jpg 文件时，一样会当成php解析。ui

3、IIS

1. IIS 6.0

目录解析

目录名包含.asp .asa .cer这种字样，该目录下全部文件都被当作asp来进行解析
例如：在网站下建立文件夹名字为.asp、.asa的文件夹，其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。test.asp/test.jpgspa

文件解析

服务器默认不解析;后面的内容，所以test.asp;.jpg便被解析成asp文件
例如：test.asp;.jpgcode

文件类型解析

IIS6.0 默认的可执行文件除了.asp，还包含这三种：.asa .cdx .cer
例如：test.asa 、 test.cdx 、 test.cer

2. IIS 7.0 / IIS 7.5

因为PHP配置文件中，开启了 cgi.fix_pathinfo ，与下面Nginx相同。

4、Nginx

Nginx默认是以CGI的方式支持PHP解析的，广泛的作法是在Nginx配置文件中经过正则匹配设置SCRIPT_FILENAME。当访问www.xxx.com/phpinfo.jpg/1.php这个URL时，$fastcgi_script_name会被设置为“phpinfo.jpg/1.php”，而后构形成SCRIPT_FILENAME传递给PHP CGI，可是PHP为何会接受这样的参数，并将phpinfo.jpg做为PHP文件解析呢?
这就要说到fix_pathinfo这个选项了。若是开启了这个选项，那么就会触发在PHP中的以下逻辑：
PHP会认为SCRIPT_FILENAME是phpinfo.jpg，而1.php是PATH_INFO，因此就会将phpinfo.jpg做为PHP文件来解析了。

Nginx的解析漏洞实质上是其实是PHP CGI解析漏洞。
这不是Nginx特有的漏洞，在IIS7.0、IIS7.五、Lighttpd等Web容器中也常常会出现这样的解析漏洞。

例如：
能够在后面添加/任意文件名.php 的解析漏洞，好比本来文件名是 test.jpg，能够添加为test.jpg/x.php 进行解析攻击。

还有一种是对低版本的 Nginx 能够在任意文件名后面添加 %00.php 进行截断解析攻击。
例如：test.php%00.jpg
00截断的两种具体操做方式：
一、更改文件名为xxx.php .jpg，在Burpsuit的Hex选项中将空格对应的20改成00。

二、更改文件名为xxx.php%00.jpg，在Burpsuit中将%00进行右键转换->URL->URL-decode。

用copy命令制做图片木马：copy 1.jpg/b+1.php/a 2.php （/b表示二进制文件，/a表示ASCII码文件)