天氣逐漸變涼,但滲透測試的熱情溫度感覺不到涼,因為有我們的存在公開分享滲透實戰經驗過程,才會讓這個秋冬變得不再冷，近期有反映在各個環境下的目錄解析漏洞的檢測方法,那么本節由我們Sine安全的高級滲透架構師來詳細的講解平常用到的web環境檢測點和網站漏洞防護辦法。

3.14.1. IIS

3.14.1.1. IIS 6.0

后綴解析 /xx.asp;.jpg

目錄解析 /xx.asp/xx.jpg (xx.asp目錄下任意解析)

默認解析 xx.asa xx.cer xx.cdx

PROPFIND 棧溢出漏洞

PUT漏洞 WebDAV任意文件上傳

3.14.1.2. IIS 7.0-7.5 / Nginx <= 0.8.37

在Fast-CGI開啟狀態下，在文件路徑后加上 /xx.php ，則 xx.jpg/xx.php 會被解析為php文件

3.14.1.3. 其他

在支持NTFS 8.3文件格式時，可利用短文件名猜解目錄文件

3.14.2. Nginx

3.14.2.1. Fast-CGI關閉

在Fast-CGI關閉的情況下， Nginx 仍然存在解析漏洞：在文件路徑(xx.jpg)后面加上 %00.php ， 即 xx.jpg%00.php 會被當做 php 文件來解析

3.14.2.2. Fast-CGI開啟

在Fast-CGI開啟狀態下，在文件路徑后加上 /xx.php ，則 xx.jpg/xx.php 會被解析為php文件

3.14.2.3. CVE-2013-4547

"a.jpg\x20\x00.php"

3.14.3. Apache

3.14.3.1. 后綴解析

test.php.x1.x2.x3 ( x1,x2,x3 為沒有在 mime.types 文件中定義的文件類型)。Apache 將從右往左開始判斷后綴， 若x3為非可識別后綴，則判斷x2，直到找到可識別后綴為止，然后對可識別后綴進行解析

3.14.3.2. .htaccess

當AllowOverride被啟用時，上傳啟用解析規則的.htaccess

3.14.3.3. CVE-2017-15715

%0A繞過上傳黑名單

3.14.4. lighttpd

xx.jpg/xx.php

3.14.5. Windows

Windows不允許空格和點以及一些特殊字符作為結尾，創建這樣的文件會自動取出，所以可以使用 xx.php[空格] ， xx.php.， xx.php/， xx.php::$DATA 可以上傳腳本文件

3.15. Web Cache欺騙攻擊

3.15.1. 簡介

網站通常都會通過如CDN、負載均衡器、或者反向代理來實現Web緩存功能。通過緩存頻繁訪問的文件，降低服務器響應延遲。

例如，網站 htttp://域名 配置了反向代理。對于那些包含用戶個人信息的頁面，如 http://域名/home.php ，由于每個用戶返回的內容有所不同，因此這類頁面通常是動態生成，并不會在緩存服務器中進行緩存。通常緩存的主要是可公開訪問的靜態文件，如css文件、js文件、txt文件、圖片等等。此外，很多最佳實踐類的文章也建議，對于那些能公開訪問的靜態文件進行緩存，并且忽略HTTP緩存頭。

Web cache攻擊類似于RPO相對路徑重寫攻擊，都依賴于瀏覽器與服務器對URL的解析方式。當訪問不存在的URL時，如 http://域名/home.php/non-existent.css ，瀏覽器發送get請求，依賴于使用的技術與配置，服務器返回了頁面 http://域名/home.php 的內容，同時URL地址仍然是 http://域名/home.php/non-existent.css，http頭的內容也與直接訪問 http://域名/home.php 相同，cacheing header、content-type(此處為text/html)也相同。

3.15.2. 漏洞成因

當代理服務器設置為緩存靜態文件并忽略這類文件的caching header時，訪問

http://域名/home.php/no-existent.css 時，會發生什么呢?整個響應流程如下：

瀏覽器請求 http://域名/home.php/no-existent.css ;

服務器返回 http://域名/home.php 的內容(通常來說不會緩存該頁面);

響應經過代理服務器;

代理識別該文件有css后綴;

在緩存目錄下，代理服務器創建目錄 home.php ，將返回的內容作為 non-existent.css 保存。

3.15.3. 漏洞利用

攻擊者欺騙用戶訪問 logo.png?www.myhack58.com ,導致含有用戶個人信息的頁面被緩存，從而能被公開訪問到。更嚴重的情況下，如果返回的內容包含session標識、安全問題的答案，或者csrf token。這樣攻擊者能接著獲得這些信息，因為通常而言大部分網站靜態資源都是公開可訪問的。

3.15.4. 漏洞存在的條件

漏洞要存在，至少需要滿足下面兩個條件：

web cache功能根據擴展進行保存，并忽略caching header;

當訪問如 http://域名/home.php/non-existent.css 不存在的頁面，會返回 home.php 的內容。

3.15.5. 漏洞防御

防御措施主要包括3點：

設置緩存機制，僅僅緩存http caching header允許的文件，這能從根本上杜絕該問題;

如果緩存組件提供選項，設置為根據content-type進行緩存;

訪問 http://域名/home.php/non-existent.css 這類不存在頁面，不返回 home.php 的內容，而返回404或者302。

對圖片上傳目錄進行腳本權限限制,對上傳擴展這里做過濾判斷。

如果緩存組件提供選項，設置為根據content-type進行緩存;

對get url的地址進行waf的安全過濾,如果對這些安全防護部署以及滲透測試不熟悉的話,建議可以像專業的網站安全公司來處理解決,國內做的比較好的推薦Sinesafe,啟明星辰,綠盟，等等專業的。

我們專注高端建站，小程序開發、軟件系統定制開發、BUG修復、物聯網開發、各類API接口對接開發等。十余年開發經驗，每一個項目承諾做到滿意為止，多一次對比，一定讓您多一份收獲！