文件解析漏洞靶场攻略

环境安装

windows2003+iis6

IIS解析漏洞

1.IIS6.X

（1）目录解析漏洞

在iis6.x中，.asp文件夹中的任意文件都会被当做asp文件去执行

1.在iis的网站根目录新建一个名为a.asp的文件夹

2.在x.asp中新建一个jpg文件，内容如下

<%=now()%>

3.在外部浏览器中访问windows2003的iis网站中的1.jpg 发现asp代码被执行

4.将2.jpg文件放到网站根目录下访问，发现其中的asp代码没有被解析。由此可见.asp文件夹中的任意文件会被当做asp文件去执行

（2）分号截断解析漏洞

分号截断，分号前面的会被解析

（3）畸形后缀解析漏洞

在IS 6处理文件解析时，分号可以起到截断的效果。也就是说 shell.asp;.jpg会被服务器看成是shell.asp。另外IIS6.0默认的可执行文件除了asp还包含 asa/cer/cdx

（4）phpcgi解析漏洞

在网站根目录创建一个phpinfo.php文件，内容如下

<?php phpinfo();?>

浏览器带端口访问此文件

2.IIS7.X

phpcgi解析漏洞

在I1S7.0和I1S7.5版本下也存在解析漏洞，在默认Fast-CGI开启状况下，在一个文件路径/xx.jpg后面加上/xx.php会将/xx.jpg/xx.php 解析为 php 文件

利用条件

1. php.ini里的cgi.fix_pathinfo=1 开启

2.lIS7在Fast-CGl运行模式下

靶场安装

docker

查看docker容器是否安装，若未安装，执行下面的命令

yum install docker

yum install docker-compose

docker -v

docker-compose -v

yum install git

git clone https://github.com/vulhub/vulhub.git

ls

cd vulhub/

Nginx解析漏洞

1.nginx_parsing

phpcgi解析漏洞

我们可以发现里面有很多靶场，找到我们需要的nginx靶场环境

cd nginx/

ls

选择这一关进入

cd nginx_parsing_vulnerability/

docker-compose up -d

docker ps

这样就可以看到这一关的端口号为：80，浏览器访问 ：8.155.6.37:80 就能进入这一关

将123.jpg文件上传

提交查询

访问此文件

/uploadfiles/f47454d1d3644127f42070181a8b9afc.jpg

/.php

蚁剑连接

2.CVE-2013-4547

两个0x20改成0x20 0x00的解析漏洞

返回云服务器终端，输入以下命令

cd ..

返回上级nginx目录

cd CVE-2013-4547

docker-compose up -d

docker ps

这样就可以看到这一关的端口号为：8080，浏览器访问 ：8.155.6.37:8080 就能进入这一关

本关继续使用之前的方法上传文件，发现被拦截，不可行，尝试抓包，修改文件类型

在1234.jpg后面添加两个空格+.php后缀名

在16进制修改中将原本两个空格的20 20 的第二个20修改为如下即00，放行

返回浏览器，发现上传成功

/uploadfiles/1234.jpg

访问shell.php

/shell.php

出现此页面表示我们的木马已经上传完毕

蚁剑连接

Apache解析漏洞

1.apache_parsing

多后缀解析漏洞

cd ..

cd ..

cd httpd

cd apache _parsing_vulnerability

docker-compose up -d

运行此命令后会发现端口被占用，我们需要修改配置文件中的默认端口

vim docker-compose.yml

将里面的默认80端口修改为81端口，保存退出（:wq），再次运行上一条命令

docker ps

浏览器访问 8.155.6.37:81 就能进入这一关

上传后缀名为.php.jpg的文件，内容如下

/uploadfiles/666.php.jpg

访问此jpg文件

访问shell.php

http://8.155.6.37:81/uploadfiles/shell.php

警告不用理会，尝试使用蚁剑连接

2.CVE-2017-15715

0x20改成0x0a的解析漏洞(把空格改成换行)

cd ..

cd CVE-2017-15715

这一关同样需要修改默认8080端口，具体操作参考上一关，修改为8081端口

docker-compose up -d

docker ps

浏览器访问 8.155.6.37:8081 就能进入这一关

尝试上传一句话木马文件，发现被拦截

抓包，在evil.php后面加一个空格

在16进制修改中将原本空格的20修改为如下即0a，放行

返回浏览器

访问evil.php文件，后缀名要加%0a

http://8.155.6.37:8081/evil.php%0a

出现此页面表示木马上传成功

蚁剑连接