cracer培训第一期 上传漏洞与解析漏洞

突然感觉有点迷茫…是因为没有实际操作吗??..还是基础不牢固??.继续看视频吧
一句话木马:
黑客在注册信息的电子邮箱或者个人主页中插入类似如下代码:
<%execute request(“value”)%>
其中value是指,所以可以更改自己的值,前面的request就是获取这个值
<%eval request(“value”)%> 现在比较多见
当知道了数据库的url,就可以利用本地一张网页 进行连接 得到webshell.
(不知道数据库也可以,只要知道<%eval request(“value”)%> 这个文件被插入到哪一个asp文件里面就可以了.)
这就被称为一句话木马,它是基于B/S结构的.
jsp的特殊,需要操作一下
一句话客户端: 中国菜刀,中国砍刀,lanker一句话客户端,zv新型php一句话木马客户端GUI版
一句话木马的制作
C32下做一句话
打开c32,把图片放里面,写入一句话保存…退出
cmd下做一句话
copy /b 1.jpg+1.asp 2.jpg
win7下右键图片,在属性->详细信息->版权内插入一句话即可
使用包含进行突破waf
asp包含文件,不含恶意代码… 把一句话木马写在jpg里包含在asp中这样就可以过waf

上传解析漏洞
解析漏洞主要说的是一些特殊文件被iis、Apache、Nginx在某种情况下解释成脚本文件格式的漏洞
IIS 5.x、6.0解析漏洞
IS6.0解析利用方法有两种
1.目录解析 /xx.asp/xx.jpg
在网站下建立文件夹名字为.asp、.asa的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行.
例如创建目录cracer.asp,那么/cracer.asp/1.jpg 将被当作asp文件来执行.假设黑客可以控制上传文件夹路径,就可以不管你上传后你的图片改不改名都能拿shell了
2.文件解析
cracer.asp;.jpg
第二种,在IIS6.0下,分号后面的不被解析,也就是说cracer.asp;.jpg会被服务器看成是wooyun.asp还有IIS6.0默认的可执行文件除了asp还包含这三种/cracer.asa /cracer.cer /cracer.cdx
apache解析漏洞
Apache是从右到左开始判断解析,如果为不可识别解析,就再往左判断 .
比如 cracer,php.owf.rar “.owf"和”.rar" 这两种后缀是Apache不可识别解析,Apache就会把cracer.php.owf.rar解析成php
如何判断是不是合法的后缀就是这个漏洞的利用关键,测试时可以尝试上传一个cracer.php.owf.rara.jpg.png 去测试是否是合法后缀
任意不识别的后缀,逐级向上识别
IIS 7.0/IIS 7.5/Nginx
在默认Fast-CGI开启状况下,黑客上传一个名字为cracer.jpg,内容为

');?>的文件,然后访问cracer.jpg/.php,在这个目录下就会生成一句话木马 shell.php

www.xxx.com/logo.gif/*.php 触发漏洞(有漏洞会把前面文件当做php执行)
Nginx<8.03空字节代码执行漏洞
影响版:0.5.,0.6.,0.7 <= 0.7.65,0.8< =0.8.37
Nginx在图片中嵌入php代码然后通过访问xxx.jpg%00.php来执行其中的代码

文件上传漏洞
第一种类型:上传文件名和服务器命名一致
第二种类型:上传文件名和服务器命名不一致(时间,日期命名等)

文件头欺骗漏洞
在一句话木马前面加入GIF89a,然后将木马保存为图片的格式
例如 cracer.jpg cracer.gif
文件头欺骗可以用来绕过简单的waf
文件上传的位置用burp就可以找到了!
filepath漏洞
可以用来突破自动命名规则, xxxx.gif
一、改变文件上传后的路径
/a.asp/ 需要一定的创建权限,不一定能成功创建
成功创建后为
/a.asp/xxxx.gif
二、直接改变文件名称
/a.asp;. 修改后为 /a.asp;xxxxx.gif
%00截断
在文件名后缀中间添加空格,在hex中由20改为00 或者直接加%20 然后进行url编码
filetype漏洞 更改文件类型上传
双文件上传
fck与eweb编辑器的利用
查看编辑器版本:
FCKeditor/_whatsnew.html
/fckeditor/editor/dialog/fck_about.html
version 2.2 版本
Apache+linux环境下在上传文件 后面加个.突破
version<= 2.4.2 for php
FCKeditor中test文件的上传地址需要自己收集
创建目录文件 用解析漏洞 文件夹为.asp 文件夹下的文件都以asp格式执行
因为编辑器会过滤" . “变成” _ " 这样就不能使用解析漏洞。版本低的话可以用二次上传的方式突破，版本高的话可以用抓包或者创建二级目录的方式来突破
针对FCK的版本号来百度，搜索相应的漏洞
ewebditor编辑器
目录遍历，可以找到其他站的目录