每日一句:
渗透测试在于找到漏洞,而不在于扩大危害
本文内容:
~实战注意
~IIS6.0解析漏洞
~CGI解析漏洞
一、实战注意
1,图片马的意义
~绕过前端检测
~绕过类型检测 (Content-Type)
~绕过文件头检测
2,一句话木马根据脚本语言类型来
要根据不同条件制作,
php:<?php @eval($_REQUEST['a']);?>
asp:<%eval request("a")%>
二、IIS6.0解析漏洞
1,漏洞本质
IIS6.0解析漏洞,其实有一些不如说是IIS6.0的一些特性,严格意义上讲,
只是一些默认配置并不是漏洞但是也有一些的确是漏洞
一般来说,有三种漏洞
2,解析漏洞(一)
IIS6.0除了将ASP后缀当做ASP进行解析的同时,
当文件后缀名字为.asa .cer .cdx 也会当做asp去解析,
这是因为IIS6.0在应用程序扩展中默认设置了.asa .cer .cdx 都会调用 asp.dll
解决:直接将响应配置删掉即可
3,解析漏洞(二)
很多地方都会用到“;”,作用是结束
IIS6.0在这就是一个漏洞了,例如:
上传a.asp;jpg,服务器就会将它作为asp去执行
但是,这个文件的名称依旧是:a.asp;jpg,只是在执行的过程中,
web容器解析的锅
4,解析漏洞(三)
另一种解析漏洞就是“/”,例如:
命名为 a.asp/123.jpg 这个也会以asp执行
关于这个漏洞造成的原因有很多解释,这里就不展开了。有兴趣的同学可以
去了解一下。简单的说,这相当于构建了一个新的文件夹a.asp,凡是这个
里的文件都会以asp去执行(我是这么理解的)
三、CGI解析漏洞
1,CGI是什么?
简单的说,可以理解为是web服务器和独立程序之间的管家
服务器将a类型文件,交给CGI,CGI交给处理a类型文件的程序
2,做法
上传图片马,不用改变图片马的名称,假如上传1.jpg
访问图片马文件位置,比如www.aaa.com/bbb/ccc/1.jpg
在文件路径补充:“/.php”,即www.aaa.com/bbb/ccc/1.jpg/.php
访问该路径,即可
进行验证:www.aaa.com/bbb/ccc/1.jpg/.php=phpinfo();
3,原理
CGI一看是php后缀结尾,便给php程序去执行,php去找名字为“
1.jpg”的文件夹,没找到,便去找“1.jpg”的文件,找到后执行。
漏洞本质:少了在次检测的环节
4,注意
这不是Nginx特有的漏洞,在IIS7.0、IIS7.5、Lighttpd等
Web容器中也经常会出现这样的解析漏洞
这种漏洞在16、17年基本一吃一个准,现在倒不是太常见,
之前被部分前辈们刷的太狠了。。。
但是,一些项目中偶尔也会见到