常用的一些可执行的文件脚本后缀:.php .php2 .php3 .php5 .phtml.asp .aspx .ascx .ashx.cer.jsp .jspx
.htaccess文件攻击.htaccess文件攻击即结合黑名单攻击服务器的 .htaccess文件 。通过move_uploaded_file函数把自己写的 .htaccess文件覆盖掉服务器上的这样就可以解析定义名单了。.htaccess文件用处:通过.htaccess文件调用php解释器去解析一个文件名中只要包含“haha”这个字符串的任意文件,无论你文件名是什么样子,只要包含”haha”这个字符串,都可以被以php的方式来解析。.htaccess文件内容:
SetHandler application/x-httpd-php
Apache解析漏洞test.php.aaa.bbb.ccc任意不属于黑名单且不属于Apache解析白名单之内的后缀名。
WampServer2.0All Version (WampServer2.0i / Apache 2.2.11) [Success] WampServer2.1All Version (WampServer2.1e-x32 / Apache 2.2.17) [Success] Wamp5 All Version (Wamp5_1.7.4 /Apache 2.2.6) [Success] AppServ 2.4All Version (AppServ - 2.4.9 /Apache 2.0.59) [Success] AppServ 2.5All Version (AppServ - 2.5.10 /Apache 2.2.8) [Success] AppServ 2.6All Version (AppServ - 2.6.0 /Apache 2.2.8) [Success]
IIS7.0/7.5是对php解析时有一个类似于Nginx的解析漏洞, 对任意文件名只要在URL后面追加上字符串"/任意文件名.php"就会按照 php 的方式去解析eg:”/1.php”
任意文件名/任意文件名.php | 任意文件名%00.php
目前 Nginx 主要有这两种漏洞:• 一个是对任意文件名,在后面添加/任意文件名.php的解析漏洞,比如原本文件名是 test.jpg,可以添加为 test.jpg/x.php 进行解析攻击。• eg: “/1.php”• 一种是对低版本的 Nginx 可以在任意文件名后面添加%00.php进行解析攻击。
Nginx 0.5.*• Nginx 0.6.* • Nginx 0.7 <= 0.7.65 • Nginx 0.8 <= 0.8.37
以上Nginx容器器的版本下,上传⼀一个在waf白名单之内扩展名的⽂文件1.jpg,然后以1.jpg%00.php进行请求。
• Nginx 0.8.41 – 1.5.6:
• 以上Nginx容器器的版本下,上传⼀一个在waf白名单之内扩展名的⽂文1.jpg,然后以1.jpg%20%00.php进行请求
路径/拓展名检绕过• 黑名单绕过• 文件名大小写绕过• 名单列表绕过• 特殊文件名绕过• 0x00截断绕过•.htaccess文件攻击• Apache解析漏洞• IIS解析漏洞• Nginx解析漏洞
• 白名单绕过• 文件名后缀0x00截断绕过• PHP文件包含漏洞• IIS解析漏洞• Nginx解析漏洞
本文作者为Mr.Bai,转载请注明。
