【文件上传绕过】——解析漏洞_IIS7.0 | IIS7.5 | Nginx的解析漏洞

文章目录

一、实验目的：二、工具：三、实验环境：四、漏洞说明：1.  `nginx解析漏洞`（实验环境：`Nginx1.4.6` )：1.1 原理：1.2 漏洞形式：1.3 另外两种解析漏洞：2. IIS7.0 | 7.5解析漏洞：2.1 原理：2.2 漏洞形式：五、环境准备：1. 安装 XAMPP环境：2. 安装IIS服务器：2.1 安装步骤：2.2 验证安装成功与否：2.3 验证能否正常执行asp的脚本文件：3. 环境配置：3.1 配置：3.2 验证PHP脚本能否执行：六、实验步骤：七、漏洞防御：

一、实验目的：

1、通过本次实验学习漏洞产生的成因。

2、通过搭建漏洞环境，学习绕过技巧。

二、工具：

火狐/谷歌浏览器

三、实验环境：

靶 机：windows Sever R2 x64虚拟机：192.168.15.142

xampp-win32-5.6.28-1-VC11-installer集成环境

IIS7.0服务器

 

攻击机：物理机

点我下载XAMPP安装包提取码：jake

四、漏洞说明：

1. nginx解析漏洞（实验环境：Nginx1.4.6)：

1.1 原理：

Nginx拿到文件路径（更专业的说法是URI）/test.jpg/test.php后，一看后缀是.php，便认为该文件是php文件，转交给php去处理。php一看/test.jpg/test.php不存在，便删去最后的/test.php，又看/test.jpg存在，便把/test.jpg当成要执行的文件了，又因为后缀为.jpg，php认为这不是php文件，于是返回Access denied。

这其中涉及到php的一个选项：cgi.fix_pathinfo，该值默认为1，表示开启。开启这一选项PHP可以对文件路径进行修理。

举个例子，当php遇到文件路径/1.jpg/2.txt/3.php时，若/1.jpg/2.txt/3.php不存在，则会去掉最后的/3.php，然后判断/1.jpg/2.txt是否存在，若存在，则把/1.jpg/2.txt当做文件/1.jpg/2.txt/3.php，若/1.jpg/2.txt仍不存在，则继续去掉/2.txt，以此类推。

1.2 漏洞形式：

/UploadFiles/image/1.jpg/1.php

1.3 另外两种解析漏洞：

/UploadFiles/image/1.jpg%00.php

/UploadFiles/image/1.jpg/%20\0.php

2. IIS7.0 | 7.5解析漏洞：

2.1 原理：

IIS7.5IIS7.0的漏洞与nginx的类似，都是由于php配置文件中，开启了cai.fix_pathinfo，而这并不是nginx或者IIS7.0 | 7.5本身的漏洞。

2.2 漏洞形式：

/UploadFiles/image/1.jpg/1.php

五、环境准备：

1. 安装 XAMPP环境：

安装XAMPP环境原因：

主要是为了能够在IIS服务器里面使用它的php模块。

1、双击安装包，进行安装，后面安装按照图片操作即可：

这里默认安装在C:/盘，可自定义：

点击Next后，会弹出浏览器，关闭即可：

2、安装图中操作即可：

3、在这个页面等待安装完毕，安装完成退出即可：

4、出现这个页面，会让我们选择安装环境语言，默认英语即可：

5、出现下面情况，按照图中操作即可

6、出现下面弹窗，退出即可，至此安装完毕：

2. 安装IIS服务器：

2.1 安装步骤：

1、点击任务栏的"服务器管理"进入以下页面，安装下图操作即可：

2、这里需要选择安装的服务器，根据自己需要进行安装，这里只安装IIS服务器，接着按照下图操作即可：

3、选择安装网站的一些功能服务，安装下图操作即可：

4、出现以下页面，等待安装结束后，选择关闭即可，至此IIS服务器安装完毕：

5、查看网站主目录位置：

2.2 验证安装成功与否：

1、验证安装成功与否，查看ip：

2、访问服务器，出现以下页面说明安装完成，可以正常访问：

2.3 验证能否正常执行asp的脚本文件：

1、删除原有的文件及目录：

2、给wwwroot目录进行授权，操作如下即可：

3、按照下图操作即可，然后一直确定退出：

4、在网站主目录下，创建一个1.asp的脚本文件：

内容：

<%=now()%>

5、在物理机里面访问这个页面，可以正常执行：

3. 环境配置：

3.1 配置：

1、给IIS服务器添加PHP模块，让它可以正常执行PHP脚本，操作步骤如下：

2、后退，进入主页面，设置FastCGI模块：

3、选中PHP配置文件：

4、确定，退出即可，至此，IIS服务器已经可以正常执行PHP脚本文件：

3.2 验证PHP脚本能否执行：

1、创建一个1.php脚本文件：

内容：

<?php phpinfo(); ?>

2、访问1.php页面，可以正常解析为php脚本文件：

3、通过以上操作，就是为了让网站在遇到php脚本文件时，服务器把php脚本交给fastcgi模块处理，找到xmapp中的php模块，让网站能够正常解析php代码。

六、实验步骤：

1、在网站主目录放一个图片马我a.jpg：

内容：

<?php phpinfo(); ?>

2、正常访问，默认以图片查看器的方式进行打开，没有解析为php脚本：

3、在后面随便添加一个/*.php，这里是加了一个/qwer.php，被解析为了php脚本文件：

IIS服务器解析漏洞处理过程：

当IIS服务器遇到文件路径/a.jpg/qwer.php时，若/a.jpg/qwer.php不存在，则会去掉最后的/qwer.php，然后判断/a.jpg是否存在，该目录下/a.jpg存在，由于服务器配置不当，造成了服务器把a.jpg当做 了php脚本执行了。

七、漏洞防御：

1、通过下面设置，进行防御IIS7.0IIS7.5的解析漏洞：

2、通过上面设置，再次访问，发现已经不能再解析了：