一,工具及环境准备
以下都是超详细保姆级安装教程,缺什么安装什么即可(提供镜像工具资源)
1-1 VMware 16.0 安装
【网络安全 --- 工具安装】VMware 16.0 详细安装过程(提供资源)-CSDN博客文章浏览阅读207次,点赞9次,收藏2次。【网络安全 --- 工具安装】VMware 16.0 详细安装过程(提供资源)
1-2 Windows server 2003 安装
【网路安全 --- win2003安装】 windows server 2003 详细安装过程(提供镜像资源)_win2003server安装教程_网络安全_Aini的博客-CSDN博客文章浏览阅读247次。【网路安全 --- win2003安装】 windows server 2003 详细安装过程(提供镜像资源)_win2003server安装教程
1-3 pikachu靶场安安装
【网路安全 --- pikachu靶场安装】超详细的pikachu靶场安装教程(提供靶场代码及工具)_网络安全_Aini的博客-CSDN博客文章浏览阅读208次,点赞11次,收藏3次。【网路安全 --- pikachu靶场安装】超详细的pikachu靶场安装教程(提供靶场代码及工具)
1-4 凡诺企业管理系统靶场安装
【网络安全 ---- 靶场搭建】凡诺企业网站管理系统靶场详细搭建过程(asp网站,练习Access数据库的 sql注入)-CSDN博客文章浏览阅读545次。【网络安全 ---- 靶场搭建】凡诺企业网站管理系统靶场详细搭建过程(asp网站,练习sql注入)
二,服务器解析漏洞
服务器解析漏洞算是历史比较悠久了,但如今依然广泛存在。在此记录汇总一些常见服务器(WEB server)的解析漏洞,比如IIS6.0、IIS7.5、apache、nginx等方便以后回顾温习。
2-1 IIS5.x-6.x解析漏洞
2-1-1 www.xxx.com/xx.asp;.jpg
我们演示一个www.xxx.com/xx.asp;.jpg
我们打开凡诺企业管理系统网站(靶场安装请看第一部分工具及环境准备)
这个首页就是index.asp ,我们复制一份这个index.asp,重命名为show.asp;.jpg 如下:
然后浏览器访问 http://192.168.31.208/show.asp;.jpg
发现依然能访问成功,这就是一个解析漏洞,如果发现asp网站有能上传图片的地方,可以使用这种方法上传asp木马程序来绕过验证
2-1-2 www.xxx.com/xx.asp/xx.jpg
原理: 服务器默认会把.asp,.asa目录下的文件都解析成asp文件。
浏览器访问 192.168.31.208/xx.asp/index.jpg
我们发现报错了,不过报错也正常,因为首页肯定包含一些别的代码文件,我们把首页移动到了别的目录,当然找不到这些包含的路径了,所以报错,而上图也显示确实找不到一个包含文件,但是肯定的是index.jpg当一个asp文件执行了,只是执行的时候由于路径问题报错了而已
2-1-3 index.asa | index.cer | index.cdx
选一个演示一下,我们把首页的index.asp改名字改为index.cer
访问效果如下,也能进行访问
cer文件一般是证书文件,iis默认也是可以解析的,我们来看网站属性
2-2 apache 解析漏洞
示例:www.xxxx.xxx.com/test.php.php123
以pikachu靶场为例(靶场安装请看第一部分工具及环境准备)
比如我们将sql.php改为sql.php.xxxx,正常来讲的话是不能解析的,但是老版本的apache(apache2.2版本及之前的)是能够正常将这个文件解析为php文件的
我用的是新版本的apache,没搭建老版本的,所以这个漏洞大家就记住他就行了,当然,新版本的apache如果配置不当也会引起这个漏洞,有兴趣的大家可以去安装一个低版本的apache来玩玩,你看新版本的就不解析运行代码了,直接把源代码给你看,而不是将源代码执行了。以前大家通过黑名单的方式来防御的,基本都挂了,因为你发现后缀名你随意写
其余配置问题导致漏洞
这两个漏洞不是apache自身的问题,而是运维人员进行配置时,自己配置的出了问题。
这里就不演示了
修复方案
1.apache配置文件,禁止.php.这样的文件执行,配置文件里面加入
2.用伪静态能解决这个问题,重写类似.php.*这类文件,打开apache的httpd.conf找到LoadModule rewrite_module modules/mod_rewrite.so把#号去掉,重启apache,在网站根目录下建立.htaccess文件,代码如下:
2-3 nginx解析漏洞
大致原理:该漏洞与nginx、php版本无关,属于配置不当造成的解析漏洞。
示例:我们通过phpstudy来改成nginx运行 (pikachu靶场)
fix_pathinfo这个功能参数默认是开启的,所以这个漏洞影响也是比较大的,我们访问一下phpinfo.php文件,看看这个功能是否开启了。
值为1表示开启状态,那么就存在这个漏洞
比如我将一个木马文件,改为.jpg文件,放到pikachu的文件夹下
(这个木马文件在文件上传闯关靶场的工具资料里给过,需要的看我下面这篇博客下载)
【网络安全 --- 任意文件上传漏洞靶场闯关 6-15关】任意文件上传漏洞靶场闯关,让你更深入了解文件上传漏洞以及绕过方式方法,思路技巧-CSDN博客文章浏览阅读901次,点赞3次,收藏2次。【网络安全 --- 任意文件上传漏洞靶场闯关 6-15关】任意文件上传漏洞靶场闯关,让你更深入了解文件上传漏洞以及绕过方式方法,思路技巧
然后通过浏览器来访问一下
能看出,默认是不能访问的,我们只要在路径后面加上一个 /tu.php ,就能够按照php来解析了,直接就是漏洞。因为图片我们是正常能够上传的,上传过去之后,如果是nginx来解析的,并且开启了cgi.fix_pathinfo功能,那么基本上属于被你拿下了。
其他漏洞形式
xxx.jpg%00.php (Nginx <0.8.03版本 存在空字节代码执行漏洞)
修复方案 :
1.修改php.ini文件,将cgi.fix_pathinfo的值设置为0;
2.在Nginx配置文件中添加以下代码:
if ( $fastcgi_script_name ~ ..*/.*php ) {
return 403;
}这行代码的意思是当匹配到类似test.jpg/a.php的URL时,将返回403错误代码。
2-4 IIS7.x解析漏洞
IIS7.5的漏洞与nginx的类似,都是由于php配置文件(php.ini文件)中,开启了cgi.fix_pathinfo,而这并不是nginx或者iis7.5本身的漏洞,都是配置不当引起的。
PHP - - phpStudy
当安装完成后, php.ini里默认cgi.fix_pathinfo=1,对其进行访问的时候,在URL路径后添加.php后缀名会当做php文件进行解析,漏洞由此产生
php.ini文件配置
虽然通过配置上看,我们发现是有这个漏洞的,但是实际测试过程中,并不是那么简单,如下,注意,下面的示例是用的phpstudy2016版本来演示的,win7及以上的系统才行昂,win2003不行的,勾选iis的时候,可能会提示你,说你没有尚未安装iis 7/8,大家自行安装一下即可。按照这个phpstudy的官网来安装:PHP - - phpStudy,其中要激活CGI功能,别忘了。
你的phpstudy可能会报错
解决方法:安装vc9工具
放到我们的win7虚拟机上
安装
一会就提示你安装好了,在重启phpstudy即可。如果提示你网站运行端口冲突了,我们改个端口即可,按照文档的安装和配置,我们访问我们的iis网站下面的图片时
根据iis的解析漏洞方式来写如下访问网址:
还是报错了,要进行如下配置才能看到效果。
找到网站代码存放目录,来部署网站:
注:在进行实际的测试的时候,iis并不像nginx似的直接可以利用,发现漏洞并没有产生,后来发现要将FastCGI的调用情况取消限制,如下,将对勾去掉。
效果如下
所以你会发现,这个漏洞如果想用的话,高版本需要进行很多的配置,所以一般不会出现这个漏洞
中间件常见解析漏洞就讲到这里,下一篇博客文件包含漏洞
