1.IIS
IIS5.x/6.0
目录解析漏洞
当在网站下建立文件夹的名字为*.asp、*.asa、*.cer、*.cdx 的文件夹,那么其目录内的任何扩展名的文件都会被IIS当做asp文件来解释并执行。
文件解析漏洞
在 IIS5.x/6.0 中, 分号后面的不被解析,也就是说 xie.asp;.jpg 会被服务器看成是xie.asp。还有IIS6.0默认的可执行文件除了asp还包含这两种 .asa .cer 。在文件上传时我们可以构造xxx.cer;.jpg等后缀成功上传。
IIS7.0
畸形解析漏洞
将文件保存成test.jpg格式,上传到服务器后,/test.jpg/x.php,此时test.jpg将会被服务器当成php文件执行,所以图片里面的代码就会被执行。我们会发现在目录下已经创建了一个一句话木马文件 test.php 。
2.apache
1.x/2.x
文件解析漏洞
apache是从右到左开始判断解析,如果为不可识别解析,就再往左判断。直到结束如果还没找到就以默认方式解析。如xxx.asp.qwe.sdf.sdf.fdc 最终就以asp文件解析。
陌生后缀
apache将 phtml pht php phps php3p php3 php4 php5后缀名都将以php解析执行
.htaccess文件
.htaccess 文件生效前提条件为:mod_rewrite 模块开启且AllowOverride All
列举两个利用方式:
#1:这个.htaccess的意思就是把所有名字里面含有shell的文件当成php脚本来执行
<FilesMatch "shell">
SetHandler application/x-httpd-php
</FilesMatch>
#2:这里代码的意思可以让 .jpg后缀名文件格式的文件名以php格式解析
AddType application/x-httpd-php .jpg
3.nginx
nginx<0.8.03
畸形解析漏洞
将文件保存成test.jpg格式,上传到服务器后,/test.jpg/x.php,此时test.jpg将会被服务器当成php文件执行,所以图片里面的代码就会被执行。我们会发现在目录下已经创建了一个一句话木马文件 test.php 。
主要原因是Nginx拿到文件路径(更专业的说法是URI)/test.jpg/test.php 后,一看后缀是.php,便认为该文件是php文件,于是转交给php去处理。php一看 /test.jpg/test.php 不存在,便删去最后的/test.php,又看/test.jpg存在,便把/test.jpg当成要执行的文件了,又因为后缀为.jpg,php认为这不是php文件,所以就以php解析执行了。
nginx0.5、0.6、0.7<=0.7.65、0.8<= 0.8.37
Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。当访问www.xx.com/phpinfo.jpg/1.php这个URL时,$fastcgi_script_name会被设置为“phpinfo.jpg/1.php”,然后构造成SCRIPT_FILENAME传递给PHP CGI,但是PHP为什么会接受这样的参数,并将phpinfo.jpg作为PHP文件解析呢?这就要说到fix_pathinfo这个选项了。 如果开启了这个选项,那么就会触发在PHP中的如下逻辑:
PHP会认为SCRIPT_FILENAME是phpinfo.jpg,而1.php是PATH_INFO,所以就会将phpinfo.jpg作为PHP文件来解析了
漏洞形式
www.xxxx.com/UploadFiles/image/1.jpg/1.php
www.xxxx.com/UploadFiles/image/1.jpg%00.php
www.xxxx.com/UploadFiles/image/1.jpg/%20\0.php
xxx.jpg%00.php (Nginx <8.03 空字节代码执行漏洞)
另外一种手法:上传一个名字为test.jpg图片马,然后访问test.jpg/.php,在这个目录下就会生成一句话木马test.php。