链接: https://github.com/dhgdhg/DVWA-Note
- 解析漏洞
- IIS/Nginx + PHP fastcgi取值错误解析漏洞
- 开启了cgi.fix_pathinfo
- 开启后, 所执行的文件不存在时, 会继续查找上一级的文件是否存在
- 示例:
a.jpg/1.php
- 开启了cgi.fix_pathinfo
- Nginx 文件名逻辑漏洞(CVE-2013-4547)
- 影响版本Nginx: 0.8.41-1.4.3 1.5.0-1.5.7
- 一般的php匹配正则:
\.php$
- 上传文件名以空格为结尾, 例:
a.jpg
- 当访问
a.jpg%20%00.php
时, 会将上传的a.jpg
文件, 当中PHP执行- 浏览器无法访问这个链接, 需要使用burpsuit选中
%20%00
, 然后Ctrl Shift U, 然后发送请求
- 浏览器无法访问这个链接, 需要使用burpsuit选中
- 原因
- Nginx将
a.jpg%20
当作了文件名
- Nginx将
- Apache解析漏洞
AddHandler application/x-httpd-php.php
- 如果在Apache的conf文件中有如上配置, 则
a.php.jpg
也会被当作php执行
- 如果在Apache的conf文件中有如上配置, 则
AddType application/x-httpd-php xxx
- 如果在
.htaccess
中有如下配置, 可以将扩展名.xxx
, 当作php执行
- 如果在
- IIS 5.x/6.0解析漏洞
- 上传文件名:
a.asp;.jpg
- 服务器不解析
;
后面的内容, 因此a.asp;.jpg
被当作了asp文件解析
- 服务器不解析
- 向xxx.asp目录下面上传
a.jpg
- 服务器会将xxx.asp目录下的文件都当作asp文件解析
- 上传文件名:
- IIS/Nginx + PHP fastcgi取值错误解析漏洞
- lfi with phpinfo
- 在线解压缩的利用
- 解压后的内容为shell
- 将shell放入目录中压缩
- 目录跳跃
- 例:
- 压缩xxxx.txt 为 emmm.zip
- 编辑emmm.zip, 将其中的
xxx
替换为../
- 等字数替换
- 例:
mv emmm.zip e
,vim e
,mv e emmm.zip
- 例:
- 将软链接压缩
ln -s /etc/passwd em
- 压缩em, 解压后查看em内容, 为passwd的内容