8

常见中间件渗透 | Dar1in9's Blog

 2 years ago
source link: https://dar1in9s.github.io/2022/03/05/%E5%B8%B8%E8%A7%81%E4%B8%AD%E9%97%B4%E4%BB%B6%E6%B8%97%E9%80%8F/#Nginx-%E6%96%87%E4%BB%B6%E5%90%8D%E9%80%BB%E8%BE%91%E6%BC%8F%E6%B4%9E%EF%BC%88CVE-2013-4547%EF%BC%89
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

这些中间件漏洞都很老了,但是面试容易考,还是记录一下把。

apache

多后缀解析

影响版本:apache 2.0.x <= 2.0.59、apache 2.2.x <= 2.2.17

解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断,直到找到可以识别的文件后缀。若都不可识别,则将其作为plain/text处理。

apache在conf/original/mime.types文件中保存有其可以识别的文件后缀

例如:index.php.a.b,后缀.b.a都不可识别,但.php可识别,此时apache会将其作为php文件解析

换行符绕过(CVE-2017-15715)

影响版本:apache 2.4.0-2.4.29

在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

P神有一篇文章谈到过这个。

Apache SSI 远程命令执行漏洞

前提:服务器开启了ssi与cgi支持

可以上传shtml文件并在shtml文件中输入ssi指令 <!--#exec cmd=”whoami” -->,然后再访问这个文件即可获得ls的结果。

SSI(Server Side Include),通常称为“服务器端嵌入或者叫”服务器端包含,是一种类似于ASP的基于服务器的网页制作技术。默认扩展名是 .stm、.shtm 和 .shtml。

IIS 5.x和IIS 6.x解析漏洞

1.目录解析(6.0)

形式:http://www.xxx.com/xx.asp/xx.jpg
原理: 服务器默认会把.asp.asa目录下的文件都解析成asp文件。

2.文件解析(6.0)

形式:http://www.xxx.com/xx.asp;.jpg
原理:服务器默认不解析;号后面的内容,因此xx.asp;.jpg便被解析成asp文件。

3.解析文件类型(默认解析后缀)

有的网站会设置黑名单上传限制,IIS6.0 默认的可执行文件除了asp还包含这三种 :

bash
/xx.asa
/xx.cer
/xx.cdx

iis把asa,cdx,cer解析成asp文件的原因:这四种扩展名都是用的同一个asp.dll文件来执行。

IIS 7.0/7.5 CGI解析漏洞

  • php.ini里的cgi.cgi_pathinfo=1

  • IIS7在Fast-CGI运行模式下

利用:在访问某个文件时,在路径后加/*.php(这里的*指任意字符),即可让服务器把把该文件当作php文件解析并返回

Nginx

Nginx PHP CGI 解析漏洞(fix_pathinfo)

前提条件:php配置cgi.fix_pathinfo=1

和iis7/7.5漏洞利用方法一致,url/xxx.gif/xx.php会被解析为php文件

空字节代码执行漏洞

影响版本:Nginx 0.5.x、Nginx 0.6.x、Nginx 0.7-0.7.65、Nginx 0.8-0.8.37

Ngnix在遇到%00空字节时与后端FastCGI处理不一致,导致可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码

Nginx 文件名逻辑漏洞(CVE-2013-4547)

影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

需开启fast-cgi

上传一个空格结尾的文件,比如xxxxx.gif%20

请求url/xxxxx.gif%20\0x00.php 即可解析为php文件(\0x00须在burp里的hex里改)

https://www.anquanke.com/post/id/219107


Recommend

  • 6
    • dar1in9s.github.io 3 years ago
    • Cache

    Dar1in9's Blog

    “内网渗透”这一整块的学习算是《内网安全攻防——渗透测试实战指南》的学习笔记。 第一部分先来学习一些基础的内网知识。 工作组和域工作组:将不同的计算机按功能或部门分成不同的组,便于访问。 ...

  • 5
    • dar1in9s.github.io 2 years ago
    • Cache

    php常利用的函数 | Dar1in9's Blog

    这里总结了一些攻击php网站常用的函数 可以执行php代码的函数eval和assert eval其实是php中的语言结构,不是函数。assert在php7之后也成为了语言结构。 preg_replace

  • 8

    “内网渗透”这一整块的学习是《内网安全攻防——渗透测试实战指南》的学习笔记。 进入内网之后第一步就是要进行内网收集,通过收集目标内网的信息,洞察内网网络图谱结构,找出最薄弱的环节,从而突破内网。 收集本机信息...

  • 5

    内网渗透—Windows Powershell基础 2022-03-11|渗透字数总...

  • 4
    • dar1in9s.github.io 2 years ago
    • Cache

    内网渗透—基础知识 | Dar1in9's Blog

    “内网渗透”这一整块的学习算是《内网安全攻防——渗透测试实战指南》的学习笔记。 第一部分先来学习一些基础的内网知识。 工作组和域工作组:将不同的计算机按功能或部门分成不同的组,便于访问。

  • 11
    • dar1in9s.github.io 2 years ago
    • Cache

    内网渗透之横向移动 | Dar1in9's Blog

    这是《内网渗透体系建设》学习笔记,第五篇:横向移动 横向移动中的文件传输通过文件共享执行net share命令,可以获得Windows默认开启的网络共享,其中C$为C盘共...

  • 8
    • dar1in9s.github.io 2 years ago
    • Cache

    内网渗透之权限提升 | Dar1in9's Blog

    这是《内网渗透体系建设》学习笔记,第四篇:权限提升 系统内核漏洞提权借助WES-NG查找可用的漏洞 WES-NG(Windows Exploit Suggester - Next Generation)根据systeminfo命令执行的结果与操作系...

  • 8
    • dar1in9s.github.io 2 years ago
    • Cache

    内网渗透之内网代理 | Dar1in9's Blog

    Dar1in9's Blog这是《内网渗透体系建设》学习笔记,第三篇:端口转发和内网代理 将web服务器的3389端口转发到VPS的3389端口 在VPS上执行以下命令,启动FRP服务端 shell./frps -c ./frps.ini

  • 7
    • dar1in9s.github.io 2 years ago
    • Cache

    内网渗透之信息收集 | Dar1in9's Blog

    这是《内网渗透体系建设》学习笔记,第二篇:信息收集 本机基础信息收集shell# 查看当前用户、权限whoami /all# 查看网络配置信息ipconfig /all# 查看主机路由信息

  • 4
    • dar1in9s.github.io 2 years ago
    • Cache

    内网渗透之基础知识 | Dar1in9's Blog

    这是《内网渗透体系建设》学习笔记,第一篇:基础知识 内网工作环境工作组和域工作组(Work Group)是计算机网络的一个概念,也是最常见和最普通的资源管理模式,就是将不同的计算机...

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK