技术博客
首页 所有文章 标签 分类 关于
技术博客

目录

文件解析漏洞练习

 收录于 未分类
   约 1141 字   预计阅读 3 分钟 
https://bing.ee123.net/img/rand?artid=146234771

文件解析漏洞练习

iis6的目录解析漏洞

(.asp目录中的所有文件都会被当做asp文件执行)

1.在iis的网站根目录新建一个名为x.asp的文件

https://i-blog.csdnimg.cn/direct/0dc2ec2b8c1d450ab5ab207cd09cb767.png

2.在x.asp中新建一个jpg文件。内容为<%=now()%> asp代码。

https://i-blog.csdnimg.cn/direct/54979b4dcb524dd8a78bce3924476fba.png

3.在外部浏览器中访问windows2003的iis网站中的2.jpg 发现asp代码被执行

https://i-blog.csdnimg.cn/direct/484ca0af6e0d417e802da2e61b29f393.png

iis6的分号截断解析漏洞

(1.asp;jpg 分号起到截断的效果)

在网站下创建22.asp;.txt  ;会起到截断的作用

https://i-blog.csdnimg.cn/direct/a543ce9cdfde440097237801d1d85333.png

在外部访问网站

https://i-blog.csdnimg.cn/direct/48c9d038df564353a1e1481437ef74d1.png

iis6的畸形后缀解析

(.asa/.cer/.cdx的文件都会被当做asp文件执行)

在网站新建223.asp;.txt和2234.asp;.jpg

https://i-blog.csdnimg.cn/direct/f8adf467585f49f0938133ebc48a7b3a.png

在外部访问

https://i-blog.csdnimg.cn/direct/21938b41b8ad49d8bc027874424456b8.png

https://i-blog.csdnimg.cn/direct/c9612bc792e348ff8664788b54287055.png

iis7的phpcgi解析漏洞

(在文件末尾 加上 /.php,文件就会被当做php文件)

利用条件

1.php.ini里的cgi.fix_pathinfo=1 开启

2.lIS7在Fast-CGl运行模式下

步骤⼀:安装IIS后在安装PHPstudy for IIS

步骤⼆:配置

php.ini

文件,将

cgi.fix_pathinfo=1 的;

取消掉…并重启

步骤三:IIS –》 配置网站–》 处理程序映射–》 PHPStudy_FastCGI –》 请求限制 –》取消勾

https://i-blog.csdnimg.cn/direct/56a6e78c8a7145eda8372449ffae2259.png

在网站下新建文本

https://i-blog.csdnimg.cn/direct/75b0829e80f54c83862f73815026fe0c.png

输入php代码

https://i-blog.csdnimg.cn/direct/0ab25e6885514368bb3dfb7ca050cf44.png

在后面加/.php就可以访问

https://i-blog.csdnimg.cn/direct/5cdcb940cb1d4f3485fadcc9c8f12db6.png

nginx的phpcgi解析漏洞(同上)

利用条件

Nginx <=0.8.37

cgi.fix_pathinfo=1

在云服务器上 进入以下Vulhub路径并开启容器

https://i-blog.csdnimg.cn/direct/d41cebe6c0784e05a11fb131c14668c2.png

启动容器,发现是80端口映射

https://i-blog.csdnimg.cn/direct/0b82b1bbce9849b38f4dc5cc89128ec4.png

访问网址,上传文件

https://i-blog.csdnimg.cn/direct/f79f933f57ae428694f7f5d130419b1e.png

得到文件地址

https://i-blog.csdnimg.cn/direct/a9ff8358382341b49d33362cd4e36d12.png 访问文件

https://i-blog.csdnimg.cn/direct/2679c1eab7954371b4a51598c68f24cc.png

加上xx.php即可绕过

https://i-blog.csdnimg.cn/direct/1a0be598959c490e9ab09fc9bd3e6c5e.png

nginx的00截断解析漏洞

(上传的时候两个空格,第二个空格20改成00可以起到截断的作用)

访问另外的靶场

https://i-blog.csdnimg.cn/direct/e1f2898894094990ac97dcdb3cbd6ea3.png

https://i-blog.csdnimg.cn/direct/58717431c2bb47b7a1ce8654102fab2d.png

写入木马文件(gif89a是用来伪装图片,代码用来生成webs hell木马)

https://i-blog.csdnimg.cn/direct/6219919c3ea245378ca7f6900603ef8f.png

开启bp抓包

https://i-blog.csdnimg.cn/direct/c32b497533b044668a146fe816a02a94.png

在文件后面加上 空格空格.php

https://i-blog.csdnimg.cn/direct/b5b2b2e7eea64615aa008baffabfbc59.png

把对应的20改成00

https://i-blog.csdnimg.cn/direct/696e5d1cb70c4b7ea1024534558e3410.png

放行,得到文件地址

访问文件,再次抓包

https://i-blog.csdnimg.cn/direct/7afbc6e4b39d400fae34be66e14157f1.png

再次把20改成00

https://i-blog.csdnimg.cn/direct/c90b1074e5164219bd4bfd138069bed6.png

访问生成的webshell.php

https://i-blog.csdnimg.cn/direct/37cf980b0489428c830e2ef2c18a9f6a.png

用蚁剑进行连接

https://i-blog.csdnimg.cn/direct/6ba15ad7f2cd4b69b6fa719e05813755.png

apache的从右往左解析漏洞

(apache的解析规则是从右往左,右边的不认识会往左递归)

访问靶场,如果端口冲突记得更改

https://i-blog.csdnimg.cn/direct/dcb6ca2d823b4c04a1e965581ce01626.png

apache的多后缀解析漏洞

(apache会为不同的后缀执行不同的指令)

启动靶场,访问靶场

https://i-blog.csdnimg.cn/direct/b0b916e0ab904fe3ab19767848300cc1.png

上传.php.jpg文件(因为apache会为不同的后缀执行不同的指令)

https://i-blog.csdnimg.cn/direct/81587d707964463cac1b86c5f22dcc73.png

访问.php.jpg文件。访问成功后访问 访问生成的webshell.php

https://i-blog.csdnimg.cn/direct/813ee031d64347d7b81b01466c997831.png

访问成功说明,木马已经生成,可以用蚁剑链接

apache的0a换行解析漏洞

(在文件末尾加上空格,空格的20改成0a,访问文件的时候加上%0a)

同理,访问网址,上传什么类型的文件都行

https://i-blog.csdnimg.cn/direct/a46e582cf36d45e09395d0475dcfc28b.png

用bp抓包,在evil.php后面加上空格,在hex编码里把20改成0a

https://i-blog.csdnimg.cn/direct/5f0aa60af2ec4e93a193f8661be0b123.png

访问文件时,加上%0a

https://i-blog.csdnimg.cn/direct/3007919f9c65450fb39cd7b167cfe725.png

访问成功就说明生成木马,访问木马,用蚁剑链接

https://i-blog.csdnimg.cn/direct/95b596aac1494f82bff9d0ba2644abd8.png

更新于 2025-03-13
 网络安全Web
返回 | 主页