一.IIS6.0

目錄解析：/xx.asp/xx.jpg
xx.jpg 可替換為任意文本文件(e.g. xx.txt)，文本內(nèi)容為后門代碼
IIS6.0 會將 xx.jpg 解析為 asp 文件。
后綴解析：/xx.asp;.jpg
IIS6.0 都會把此類后綴文件成功解析為 asp 文件。
默認解析：/xx.asa
/xx.cer
/xx.cdx
IIS6.0 默認的可執(zhí)行文件除了 asp 還包含這三種
此處可聯(lián)系利用目錄解析漏洞
/xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg

二.IIS 7.0/IIS 7.5/Nginx <0.8.03

在默認Fast-CGI開啟狀況下,在一個文件路徑(/xx.jpg)后面加上/xx.php,會將 /xx.jpg/xx.php 解析為 php 文件。
常用利用方法：
將一張圖和一個寫入后門代碼的文本文件合并,將惡意文本寫入圖片的二進制代碼之后，避免破壞圖片文件頭和尾
如：
copy xx.jpg /b + yy.txt/a xy.jpg

#

/b 即二進制[binary]模式
/a 即ascii模式
xx.jpg 正常圖片文件
yy.txt 內(nèi)容

#

找個地方上傳 xy.jpg ,然后找到 xy.jpg 的地址，在地址后加上 /xx.php 即可執(zhí)行惡意文本。然后就在圖片目錄下生成一句話木馬 shell.php
密碼 cmd

三.Nginx <0.8.03

在Fast-CGI關(guān)閉的情況下，Nginx <0.8.03依然存在解析漏洞
在一個文件路徑(/xx.jpg)后面加上%00.php,會將 /xx.jpg%00.php 解析為 php 文件。

四.Apache<0.8.03

后綴解析：test.php.x1.x2.x3
Apache將從右至左開始判斷后綴，若x3非可識別后綴，再判斷x2，直到找到可識別后綴為止，然后將該可識別后綴進行解析 test.php.x1.x2.x3 則會被解析為php
經(jīng)驗之談：php|php3|phtml 都可被Apache解析。

五.其他一些可利用的

在windows環(huán)境下，xx.jpg[空格] 或xx.jpg. 這兩類文件都是不允許存在的
若這樣命名，windows會默認除去空格或點，這也是可以被利用的！
在向一臺windows主機上傳數(shù)據(jù)時，你可以抓包修改文件名，在后面加個空格或點，試圖繞過黑名單，若上傳成功，最后的點或空格都會被消除，這樣就可得到shell。我記得Fck Php 2.6就存在加空格繞過的漏洞。
{Linux主機中不行，Linux允許這類文件存在}
如果在Apache中.htaccess可被執(zhí)行（默認不執(zhí)行，這是90sec里的一位朋友說的，當初我并不知道），且可以被上傳，那可以嘗試在.htaccess中寫入:

<FilesMatch “shell.jpg”> SetHandler application/x-httpd-php </FilesMatch>

shell.jpg換成你上傳的文件，這樣shell.jpg就可解析為php文件

六.錯誤修改

在 IIS 6.0 下可解析 /xx.asp:.jpg
{/xx.asp:.jpg 此類文件在Windows下不允許存在，:.jpg被自動除去,剩下/xx.asp}修改：
先謝謝核攻擊的提醒
當上傳一個/xx.asp:.jpg文件時，的確:.jpg會消失，但是現(xiàn)在的/xx.asp里是沒有任何內(nèi)容的.

總結(jié)

以上是生活随笔為你收集整理的常见服务器解析漏洞(IIS,Nginx,Apache)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。