文件解析漏洞复现

一、IIS 6.X

1.在网站目录创建文件夹名为xxx.asp/xxx.asa 文件夹，里面的任意文件都会被当作asp文件执行

创建1.asp

访问

2.ooo.asp.jpg会被当做asp文件执行

创建一个ooo.asp;.jpg

访问

二、IIS 7.X

上传1.jpg文件在网址后+/.php可以成功执行

写一个1.jpg文件内容如下上传到目标站点

访问http://网址/1.jpg/.php访问成功

三、Nginx解析漏洞

1.nginx_parsing（会在文件后加/.php会以php文件格式打开）

下载Vulhub并打开容器，访问网址。

提交一个php文件上传失败

将文件格式改为jpg上传

再次失败，在文件中加一个图片格式头，再次上传

成功上传

访问上传文件

复制木马网址使用蚁剑连接（连接成功）

2.CVE-2013-4547（此漏洞为文件名逻辑漏洞，该漏洞在上传图片时，修改其16进制编码可使其绕过策略，导致解析为php。当Nginx得到一个用户请求时，首先对url进行解析，进行正则匹配，如果匹配到以.php后缀结尾的文件名，会将请求的PHP文件交给PHP-CGI去解析。）

访问网址上传一个jpg文件

打开抓包在jpg文件末尾加两个空格.php

在hex中将空格的20 20 改为 20 00放包

访问木马网址+（空格空格.php）抓包将url编码后的空格改为空格

将第二哥空格的hex值改为00放包

访问成功

访问我们生成的木马

复制网址使用蚁剑连接

四、Apache解析漏洞

1.apache读取后缀从右往左，允许文件有多个后缀名，当他识别不了文件名才会继续向左识别

利用这个原则我们创建一个1.php.jpg上传

上传成功

访问木马网址

复制网址使用蚁剑连接

2.CVE-2017-15715（Apache HTTPD是一款HTTP服务器，它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞，在解析PHP时，1.php\x0A将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。）

上传php文件抓包

在evil.php后加空格 将hex值改为0a

访问  网址 /evil.php%0a

使用蚁剑连接