[8]-文件上传漏洞-服务器关联型漏洞

学习服务器关联型漏洞以及其他更高阶上传漏洞的绕过和利用技巧，讲解足够多并且比较高级的绕过技巧的同时，积累漏洞利用方式，引发思考，希望能从量变到质变，一方面是实战利用；另一方面，漏洞挖掘、检测时启发式思考。

一、与webserver有关漏洞

1、IIS解析漏洞

1. 存在版本
   ISS 5.x/6.0
2. 漏洞触发原理
   • 当创建.asp的文件目录的时候，在此目录.asp/下的任意文件，服务器都解析为asp文件
   • 服务器默认不解析;以后的内容
3. 漏洞利用形式：
   • www.xxx.com/xx.asp/xx.jpg会被解析成asp文件
   • www.xxx.com/xxx.asp;.jap会被解析为asp文件
4. 具体细节
   • windows平台下，所有的程序会去调用很多的外部动态链接库
   • ISS解析asp文件时
   • 在5.x-6.0的版本中，会调用asp.dll，去解析所访问的文件资源
   • 而在解析所访问的目录时，代码有处理不完善的地方，从而触发漏洞
   • 此外由于微软嘴硬，不承认其为漏洞，故至今未曾修复。
5. 深入探究漏洞
   逆向常用且较好用的工具：IDA以及F5插件，组合逆向asp.dll就可以找到相关的代码段

2.Nginx解析漏洞

1. 触发条件
   低版本nginx
2. 原理
   低版本Nginx中存在一个由PHP-CGI导致的web解析漏洞
   PHP的配置文件中一个关键选项cgi.fix_pathinfo在php.ini配置文件中，默认是开启的
   当URL中有不存在的文件时，PHP就会默认向前解析
3. 漏洞利用流程

• 访问：www.xx.com/phpinfo.jpg/1.php（注：1.php不存在）
• 此时就会解析phpinfo.jpg文件，但按照php格式解析

4. 具体细节

• 访问后端托管在Nginx服务
• 用户访问后端托管在Nginx的服务时
• 如果URL中有不存在的文件，则PHP默认就会向前解析
• 直到解析到能够解析的文件为止。

5. 内容检测绕过方式
   通过内容检测的一个jpg文件执行php，见后续

3.Apache解析漏洞

1. 触发条件
   1.x和2.x版本中
2. 原理
   Apache 1.x和2.x版本中，Apache从右至左开始判断后缀，跳过非可识别后缀，直到找到可识别后缀为止，然后将该可识别后缀进行解析。
3. 漏洞利用流程：
   • 上传shell.php.test
   • 访问shell.php.test，服务器解析时，按照php格式解析

二、典型绕过及利用方式

1.前端验证绕过

1. 前端输入不可信---web安全根本性原因
   对于前端而言，非常好绕过，方式非常多。
2. 漏洞成因：
   只在前端利用JS进行校验，而未曾在后端校验
3. 漏洞利用方式
   • 使用Burp Suite抓包，修改发送至后端的数据包内容，然后发送至服务器
   • 通过浏览器禁止/删除JavaScript代码

2..htaccess绕过

1. .htaccess概念
   .htaccess文件即：分布式配置文件，
2. 该文件作用
   提供一种方式，使得web服务器能对整个网站的配置来做一个灵活的调整，使得配置文件可以随文件夹不同而不同，其所放置的文件夹及所有的子文件夹都会受此影响。
   其语法同apache主配置文件
3. 如何利用
   场景：启用了.htaccess文件的网站，
   利用：使用此文件类型来绕过限制较全面的黑名单过滤
   原理：告知，可以某文件夹目录下可以去解析我们指定的某一类文件。
4. 实战场景流程
   • 上传.htaccess文件，文件内容设置为AddType application/x-httpd-php .test，即：将.test文件解析为php文件类型
   • 上传一句话木马，文件名称为shell.test
   • 访问shell.test即可执行一句话木马
5. 思考：
   为什么shell.test会执行？

3.大小写绕过

1. 基础
   与操作系统有关，windows操作系统对于大小写不敏感，而Linux对大小写敏感的特性
   针对黑名单过滤
   利用对url处理，对大小写不敏感特性
2. 场景
   黑名单禁止上传.php文件，则我们可以尝试上传.pHp、PHP等等此类文件，利用其对大小写敏感特性
3. 注意
   虽然Linux对于大小写敏感，但事实上，也可以完成大小写绕过。
4. Linux绕过成因
   Linux服务器的URL区分大小写，对用户不友好，因此一般都会手动配置部署在Linux的webapp对大小写不敏感。