第48天:漏洞利用-PHP应用&文件上传&中间件CVE解析&第三方编辑器&已知CMS漏洞

apache未知后缀解析

原理:apache在遇到不认识的后缀就会往前解析。

1
2
3
4
Apache默认一个文件可以有多个以点分割的后缀,apache会从最右边开始识别其后缀名,如遇无法识别的后缀名则依次往左进行识别
如果运维人员给.php后缀的文件添加了处理程序 `AddHandler application/x-httpd-php .php` 那么在
有多个后缀的情况下,只要文件含有.php后缀那么该文件就会被识别为PHP文件进行解析。
该漏洞和apache版本和php版本无关,属于用户配置不当造成的解析漏洞。

多后缀解析漏洞

1
2
很少见,配置问题
在有多个后缀的情况下,只要有一个文件包含.php后缀的文件即将被识别成php文件,没必要最后一个后缀用这个特性,将会造成一个可以绕过上传白名单的解析漏洞

漏洞环境—vulhub

1
/root/vulhub/httpd/apache_parsing_vulnerability

image-20250812223032545

image-20250812223047340

CVE-2017-15715—换行

1
2
3
4
5
条件:
符合漏洞版本2.4.0~2.4.29
有文件上传点
能够重命名上传文件
缺一不可

image-20250812224157711

image-20250812224244282

然后使用十六进制将这个空格的地方换成0a,改好之后放包:

1
http://10.20.0.117:8080/evil.php%0A

访问这个地址:

image-20250812224446787

cve-2013-4547(00截断)

1
2
1.符合的漏洞版本
2.文件上传点

image-20250812224916490

image-20250812225218434

然后在十六进制里面将这个两个空格改成00

image-20250812225318761

发送即可,但是我这里没有成功。。。。

Nginx解析漏洞

1
漏洞成因:配置不当

image-20250812231026927

直接上传一个图片马

1
2
3
访问:
xxx.jpg/.php
这样就会把图片解析成php文件

PHP-编辑器-上传相关-第三方处理引用

1
2
3
4
由于编辑器漏洞较少,实战碰到机会不大,主要理解漏洞产生的思路
参考:https://cloud.tencent.com/developer/article/2200036
参考:https://blog.csdn.net/qq_45813980/article/details/126866682
引用到外部的第三方编辑器实现文件上传,编辑器的安全即是上传安全

image-20250813083923691

查看版本,发现是1.4.3,存在漏洞,可以验证

1
2
3
4
<form action="http://192.168.111.140:10000/net/controller.ashx?action=catchimage" enctype="multipart/form-data" method="POST">
 <p>输入web地址: <input type="text" name="source[]" /></p>
 <input type="submit" value="Submit" />
</form>

这里的地址改成对应的漏洞地址。

然后自己建立一个远程的图片马,在本地打开上面的poc。

image-20250813084656793

后面只要加上这个aspx的后缀,就可以了。这里我的环境没有搭建好,就不演示了。

通达Nday

image-20250813100052046