當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

文件解析漏洞总结-IIS

發(fā)布時(shí)間：2023/12/31 编程问答 34 豆豆

生活随笔收集整理的這篇文章主要介紹了文件解析漏洞总结-IIS 小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

一、IIS6.0解析漏洞

漏洞一（后綴繞過）
漏洞二（目錄解析）
漏洞三（文件解析）
補(bǔ)充（PUT和漏洞三的結(jié)合）

二、IIS7.0解析漏洞

IIS6.0解析漏洞

環(huán)境搭建：Windows Server 2003

漏洞一：

當(dāng)目標(biāo)服務(wù)器禁止上傳.asp后綴的文件時(shí)，可以使用.cer或.asa后綴繞過，這兩個(gè)后綴名依舊當(dāng)做asp文件解析執(zhí)行
例：有peak.cer和peak.asa，其內(nèi)容都是

<% response.write("Hello World!") %>

漏洞二：

在網(wǎng)站中建立*.asp或*.asa的文件夾時(shí)，該文件夾中的任何文件都被IIS當(dāng)做asp文件解析并執(zhí)行，也可以叫做目錄解析
例：在網(wǎng)站根目錄中創(chuàng)建一個(gè)x.asp文件夾，x.asp文件夾中有個(gè)1.txt，1.txt的內(nèi)容如下

<% response.write("Hello World!") %>

結(jié)果示意圖：

注：這里1.txt的內(nèi)容可以為一句話，這樣，就獲得到了目標(biāo)的服務(wù)器權(quán)限
例如使用一句話：<%eval request(“peak”)%>

漏洞三：

當(dāng)IIS處理像*.asp;*.jpg這類特殊的文件名時(shí)，會(huì)將;后面的內(nèi)容直接忽略，將;前面的文件當(dāng)做asp解析執(zhí)行，這么做主要是為了繞過上傳時(shí)目標(biāo)服務(wù)器設(shè)置的黑名單，也可以稱其為文件解析
例：一個(gè)peak.asp;jpg或peak.asp;1.jpg，其內(nèi)容為：<%eval request(“peak”)%>

補(bǔ)充：

可以通過PUT與漏洞三的結(jié)合，上傳一句話木馬文件，并讓它以asp解析執(zhí)行
條件：要有寫入權(quán)限

1、先在本地寫一個(gè)一句話，如果目標(biāo)不讓上傳.asp，那我們.txt總可以吧，例如上傳一個(gè)xx.txt，內(nèi)容：<%eval request(“peak”)%>
如果無法PUT，是因?yàn)?#xff0c;你沒有給根目錄users的寫入權(quán)限，我這里就直接完全控制了

2、使用軟件PUT上傳

3、使用軟件MOVE移動(dòng)為特殊文件名

4、最后訪問目標(biāo)文件

訪問：

蟻劍連接：

IIS7.0解析漏洞

原理：IIS和Nginx從右向左判斷是否認(rèn)識(shí)這個(gè)后綴，只要看到認(rèn)識(shí)的后綴，例如：是.php結(jié)尾的，交給php處理，當(dāng)php開啟了cgi.cgi_pathinfo=1，就會(huì)對(duì)文件路徑進(jìn)行修理，何為修理？例如：當(dāng)php遇到文件路徑為xx.jpg/xx.txt/xx.php時(shí)，它會(huì)先判斷xx.jpg/xx.txt/xx.php這個(gè)文件是否存在（注意xx.jpg/xx.txt/xx.php是個(gè)整體），若xx.jpg/xx.txt/xx.php不存在于，就刪除/xx.php，繼續(xù)向前找，如果xx.jpg/xx.txt存在，那么最后執(zhí)行的文件就是xx.jpg/xx.txt；如果xx.jpg/xx.txt不存在，就刪除/xx.txt，繼續(xù)向前找，判斷xx.jpg是否存在在，以此類推
注：這里的xx.jpg和xx.txt它既是文件，也是目錄，因?yàn)樗锩孢€有文件嘛，找不到就向上一級(jí)找

實(shí)驗(yàn)環(huán)境：（IIS7.x+php任意版本+FAST-CGI）
Windows Server 2008
phpstudy2018

漏洞利用條件：
1、php.ini里的cgi.cgi_pathinfo=1
2、IIS7.0在FAST-CGI運(yùn)行模式下

（1）首先安裝IIS7.0（記得勾選ASP相關(guān)和CGI），然后安裝phpstudy，這里我選擇如下

（2）然后訪問一下IIS頁面

（3）先創(chuàng)建一個(gè)phpinfo文件測(cè)試一下php環(huán)境是否搭建成功

（4）再創(chuàng)建一個(gè)包含php代碼的jpg文件

（5）瀏覽器訪問一下，看看

（6）接下來試試1.jpg/.php文件路徑修理來試試

（7）哎呦，無法訪問，那我們接下來進(jìn)行配置，使php文件路徑修理生效
我們來修改php.ini文件，設(shè)置cgi.cgi_pathinfo=1，并刪除注釋

（8）最重要的來了，更改網(wǎng)站處理程序映射

確定即可
（9）最后我們利用php文件修理這一特性進(jìn)行漏洞的執(zhí)行

http://192.168.100.181/1.jpg/.php 原理：因?yàn)閁RL最后有.php，所以IIS將1.jpg/.php交給php處理，php修理文件路徑1.jpg/.php，發(fā)現(xiàn)1.jpg/中的.php不存在于服務(wù)器中，所以向前尋找1.jpg，判斷1.jpg是否存在，結(jié)果存在，那么就把該文件當(dāng)做php解析代碼執(zhí)行了

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來咯，堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)

總結(jié)

以上是生活随笔為你收集整理的文件解析漏洞总结-IIS的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。