链接: https://github.com/dhgdhg/DVWA-Note

  • 解析漏洞
    • IIS/Nginx + PHP fastcgi取值错误解析漏洞
      • 开启了cgi.fix_pathinfo
        • 开启后, 所执行的文件不存在时, 会继续查找上一级的文件是否存在
      • 示例:
        • a.jpg/1.php
    • Nginx 文件名逻辑漏洞(CVE-2013-4547)
      • 影响版本Nginx: 0.8.41-1.4.3 1.5.0-1.5.7
      • 一般的php匹配正则: \.php$
      • 上传文件名以空格为结尾, 例: a.jpg
      • 当访问a.jpg%20%00.php时, 会将上传的a.jpg文件, 当中PHP执行
        • 浏览器无法访问这个链接, 需要使用burpsuit选中%20%00, 然后Ctrl Shift U, 然后发送请求
      • 原因
        • Nginx将a.jpg%20当作了文件名
    • Apache解析漏洞
      • AddHandler application/x-httpd-php.php
        • 如果在Apache的conf文件中有如上配置, 则a.php.jpg也会被当作php执行
      • AddType application/x-httpd-php xxx
        • 如果在.htaccess中有如下配置, 可以将扩展名.xxx, 当作php执行
    • IIS 5.x/6.0解析漏洞
      • 上传文件名: a.asp;.jpg
        • 服务器不解析;后面的内容, 因此a.asp;.jpg被当作了asp文件解析
      • 向xxx.asp目录下面上传a.jpg
        • 服务器会将xxx.asp目录下的文件都当作asp文件解析
  • lfi with phpinfo
  • 在线解压缩的利用
    1. 解压后的内容为shell
    2. 将shell放入目录中压缩
    3. 目录跳跃
      • 例:
        • 压缩xxxx.txt 为 emmm.zip
        • 编辑emmm.zip, 将其中的xxx替换为../
          • 等字数替换
        • 例: mv emmm.zip e, vim e, mv e emmm.zip
    4. 将软链接压缩
      • ln -s /etc/passwd em
      • 压缩em, 解压后查看em内容, 为passwd的内容