文章目錄
- 前端繞過
- 服務器拓展名繞過
- Apache特殊可決議后綴繞過
- 利用windows特性
- %00截斷
- .htaccess
- .user.ini
- 服務器決議漏洞
- apache
- IIS6.0漏洞
- Nginx 漏洞
- Nginx 檔案名邏輯漏洞(CVE-2013-4547)
- 檔案上傳防御
- 冰蝎加密原理
前端繞過
服務器拓展名繞過
Apache特殊可決議后綴繞過
前提是apache的httpd.conf中有如下配置代碼
AddType application/x-httpd-php .php .phtml .phps .php5 .pht
用如下后綴繞過:phtml、pht、phtm、php、php3、php4、php5、php7、phar、phps
利用windows特性
以下字符放在結尾時,不符合作業系統的命名規范,在最后生成檔案時,字符會被自動去除,
%00截斷
前提條件: PHP版本 < 5.34 、php的magic_quotes_gpc為OFF狀態
我的理解是%00截斷是chr(0),在c語言中字串就是以chr(0)作為結尾,所以%00時被認為是結尾,從而截斷后面的字符
.htaccess
.htaccess是Apache的又一特色,一般來說,組態檔的作用范圍都是全域的,但Apache提供了一種很方便的、可作用于當前目錄及其子目錄的組態檔——.htaccess(分布式組態檔),
.htaccess
<FilesMatch "tianwen.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
然后上傳后綴為jpg的一句話木馬
.user.ini
利用.user.ini上傳條件需要是使用的是fastcgi
.user.ini輕松讓所有php檔案都“自動”包含某個檔案,而這個檔案可以是一個正常php檔案,也可以是一個包含一句話的webshell,服務器為nginx時可以嘗試該方法,
//.user.ini
auto_prepend_file=1.jpg
auto_append_file=1.jpg
所有檔案自動包含1.jpg
服務器決議漏洞
apache
Apache決議檔案規則是從右到左,例如shel.php.gix.ccc,apache會先識別ccc,ccc不被識別,則識別gix,以此類推,最后會被識別為php來運行,
IIS6.0漏洞
目錄決議 :
目錄名為.asp、.asa、.cer,則目錄下的所有檔案都會被作為ASP
url/test.asp/shell.jpg會被當作asp腳本運行,
檔案決議 :
檔案名中分號后不被決議,例如asa\cer\cdx,
url/test.asp;shell.jpg會被當作asp腳本運行,
檔案型別決議 :
IIS6.0 默認的可執行檔案除了asp還包含asa\cer\cdx這三種,
Nginx 漏洞
PHP+nginx默認是以cgi的方式去運行,當用戶配置不當,會導致任意檔案被當作php去決議,
利用條件:
- 以FastCGl運行
- cgi.fix_pathinfo=1(全版本PHP默認為開啟)
例如如果滿足上述條件,當你訪問url/shell.jpg/shell.php時,shell.jpg會被當作php去執行,
Nginx 檔案名邏輯漏洞(CVE-2013-4547)
影響版本:Nginx 0.8.41 ~ 1.4.3/1.5.0 ~ 1.5.7
利用程序:
上傳一個shell.jpg檔案,注意最后為空格
在burp中改為shell.jpg[Ox20][Ox00].php(Hex界面)
檔案上傳防御
- 服務端檔案擴展名使用白名單檢測+檔案名重命名
- 對檔案內容進行檢測
- 對中間件做安全的配置
冰蝎加密原理
首先下載該解密工具
https://github.com/melody27/behinder_decrypt
冰蝎加上代理
burp抓包
使用上面的工具進行解密
php .\decropt.php -k e45e329feb5d925b -a 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
解密結果如下
又去看了看冰蝎2的加密程序是先互換秘鑰,然后再加密,密碼是通過get的方式傳過去,而冰蝎三是使用預定義的秘鑰,從第一個包開始就使用aes加密
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/321003.html
標籤:其他
上一篇:“入侵5G手機”Black Hat USA 2021:通過無線基帶-針對5G智能手機的RCE遠程代碼執行攻擊白皮書
下一篇:ctfshow-web