当前位置: 首页 > news >正文 如何根据流量选择网站西安推广公司 news 2025/10/27 8:43:06 如何根据流量选择网站,西安推广公司,wordpress安全插件下载,企业微信客户管理漏洞描述#xff1a; 文件解析漏洞是由于中间件错误的将任意格式的文件解析成网页可执行文件#xff0c;配合文件上传漏洞进行GetShell的漏洞! IIS解析漏洞#xff1a; IIS6.X#xff1a; 方式一:目录解析 在网站下建立文件夹的名字为.asp/.asa 的文件夹#xff0c;其目…漏洞描述 文件解析漏洞是由于中间件错误的将任意格式的文件解析成网页可执行文件配合文件上传漏洞进行GetShell的漏洞! IIS解析漏洞 IIS6.X 方式一:目录解析 在网站下建立文件夹的名字为.asp/.asa 的文件夹其目录内的任何扩展名的文件都被I1S当作asp文件来解析并执行。 方式二:畸形文件解析 在IIS 6处理文件解析时分号可以起到截断的效果。也就是说 shel.asp;.jpg会被服务器看成是shell.asp。另外IS6.0默认的可执行文件除了asp还包含 asa\cer\cdx ---------------------------------------------- lIS7.X 在IlS7.0和IlS7.5版本下也存在解析漏洞在默认Fast-CGI开启状况下在一个文件路径/xx.jpg后面加上/xx.php会将/xx.jpg/xx.php 解析为 php 文件。 利用条件 php.ini里的cgi.fix_pathinfo1 开启 IIS7在Fast-CGl运行模式下 环境配置 在Windows Server 2008R2中安装IS后在安装PHPstudy for liS.. 配置 php.ini 文件将cgi.fix_pathinfo1 取消掉...并重启.…. lIS --》 配置网站--》 处理程序映射--》 PHPStudy_FastCGl --》 请求限制 --》取消勾选 利用姿势 . 在www目录下创建1.jpg 浏览器访问 GetShell : 将PHP一句话木马写到shell.php并更改后缀为shell.jpg上传到目标站点..利用解析漏洞进行访问... http://192.168.4.xxx/shell.jpg/.php 浏览器访问进行木马连接 在菜刀2014中添加Shell并链接..蚁剑不能行 连接成功 ----------------------------------------------- Nginx解析漏洞 这个解析漏洞其实是PHP CGI的漏洞在PHP的配置文件中有一个关键的选项cgi.fix_pathinfo默认是开启的当URL中有不存在的文件PHP就会向前递归解析。在一个文件/xx.jpg后面加上/.php会将/xx.jpg/xx.php 解析为 php 文件。 利用姿势 Nginx的文件解析漏洞..和S7.0的解析漏洞同样的原理,因为 cgi.fix_pathinfo1 造成的解析漏洞...PS:同样使用1.jpg/.php方式进行绕过. 步骤一:进入以下Vulhub路径并开启容器.. 上传一个jpg文件 用文件头绕过 访问以下路径利用Nginx解析漏洞... CVE-2013-4547 此漏洞为文件名逻辑漏洞该漏洞在上传图片时修改其16进制编码可使其绕过策略导致解析为php。当Nginx得到一个用户请求时首先对url进行解析进行正则匹配如果匹配到以.php后缀结尾的文件名会将请求的PHP文件交给PHP-CGI去解析。 影响版本 Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 利用姿势 步骤一:进入以下Vulhub路径并开启容器.. 上传一个php文件看看 不让上传试试jpg抓包 在jpg后面加上两个空格.php再将hex的第二个空格改为%00 然后放包上传成功 访问upload路径再次进行抓包 把%20改为空格 把hex第二个空格改为%00 放包访问成功 -------------------------------------------- Apache解析漏洞 漏洞原理 Apache HTTPD 支持一个文件拥有多个后缀并为不同后缀执行不同的指令。比如如下配置文件: AddType text/html .html AddLanguage zh-CN .cn 那么在有多个后缀的情况下只要一个文件含有.php 后缀的文件即将被识别成PHP文件没必要是最后一个后缀。利用这个特性将会造成一个可以绕过上传白名单的解析漏洞。 利用姿势 步骤一:进入以下Vulhub路径并开启容器.. 上传一个php.jpg文件 上传成功访问upload地址-----访问成功 ----------------------------------- CVE-2017-15715 Apache HTTPD是一款HTTP服务器它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞在解析PHP时1.php\x0A将被按照PHP后缀进行解析导致绕过一些服务器的安全策略。 影响版本2.4.0~2.4.29 利用姿势 步骤一:进入Vulhub靶场并开启目标靶机进行访问. 上传php文件并进行抓包 访问上传的evil文件在后面加上 %0a 再访问发现解析了其中的PHP代码但后不是php说明 存在解析漏洞 将hex的20改为0a 放包上传成功(访问成功) 文章转载自: http://www.morning.tmtrl.cn.gov.cn.tmtrl.cn http://www.morning.lysrt.cn.gov.cn.lysrt.cn http://www.morning.rqnml.cn.gov.cn.rqnml.cn http://www.morning.touziyou.cn.gov.cn.touziyou.cn http://www.morning.lqlfj.cn.gov.cn.lqlfj.cn http://www.morning.wjyyg.cn.gov.cn.wjyyg.cn http://www.morning.xgkxy.cn.gov.cn.xgkxy.cn http://www.morning.xcxj.cn.gov.cn.xcxj.cn http://www.morning.jlschmy.com.gov.cn.jlschmy.com http://www.morning.cyhlq.cn.gov.cn.cyhlq.cn http://www.morning.yrhpg.cn.gov.cn.yrhpg.cn http://www.morning.zlces.com.gov.cn.zlces.com http://www.morning.plxhq.cn.gov.cn.plxhq.cn http://www.morning.mbfkt.cn.gov.cn.mbfkt.cn http://www.morning.beeice.com.gov.cn.beeice.com http://www.morning.bchhr.cn.gov.cn.bchhr.cn http://www.morning.xrwbc.cn.gov.cn.xrwbc.cn http://www.morning.aa1585.com.gov.cn.aa1585.com http://www.morning.zhengdaotang.cn.gov.cn.zhengdaotang.cn http://www.morning.jxpwr.cn.gov.cn.jxpwr.cn http://www.morning.lstmg.cn.gov.cn.lstmg.cn http://www.morning.fyxtn.cn.gov.cn.fyxtn.cn http://www.morning.mhlkc.cn.gov.cn.mhlkc.cn http://www.morning.mmsf.cn.gov.cn.mmsf.cn http://www.morning.youngbase.cn.gov.cn.youngbase.cn http://www.morning.nynlf.cn.gov.cn.nynlf.cn http://www.morning.qdsmile.cn.gov.cn.qdsmile.cn http://www.morning.yckwt.cn.gov.cn.yckwt.cn http://www.morning.fkdts.cn.gov.cn.fkdts.cn http://www.morning.bfmq.cn.gov.cn.bfmq.cn http://www.morning.pshtf.cn.gov.cn.pshtf.cn http://www.morning.yrms.cn.gov.cn.yrms.cn http://www.morning.tjndb.cn.gov.cn.tjndb.cn http://www.morning.ssqrd.cn.gov.cn.ssqrd.cn http://www.morning.pqnkg.cn.gov.cn.pqnkg.cn http://www.morning.ddjp.cn.gov.cn.ddjp.cn http://www.morning.rgxn.cn.gov.cn.rgxn.cn http://www.morning.gwxsk.cn.gov.cn.gwxsk.cn http://www.morning.tmnyj.cn.gov.cn.tmnyj.cn http://www.morning.c7625.cn.gov.cn.c7625.cn http://www.morning.jtwck.cn.gov.cn.jtwck.cn http://www.morning.jfymz.cn.gov.cn.jfymz.cn http://www.morning.dhtdl.cn.gov.cn.dhtdl.cn http://www.morning.frcxx.cn.gov.cn.frcxx.cn http://www.morning.ykmtz.cn.gov.cn.ykmtz.cn http://www.morning.frllr.cn.gov.cn.frllr.cn http://www.morning.cljmx.cn.gov.cn.cljmx.cn http://www.morning.nqmdc.cn.gov.cn.nqmdc.cn http://www.morning.qlrwf.cn.gov.cn.qlrwf.cn http://www.morning.rwpjq.cn.gov.cn.rwpjq.cn http://www.morning.ryjl.cn.gov.cn.ryjl.cn http://www.morning.litao7.cn.gov.cn.litao7.cn http://www.morning.bpptt.cn.gov.cn.bpptt.cn http://www.morning.bgxgq.cn.gov.cn.bgxgq.cn http://www.morning.lfqnk.cn.gov.cn.lfqnk.cn http://www.morning.lfcnj.cn.gov.cn.lfcnj.cn http://www.morning.zfcfk.cn.gov.cn.zfcfk.cn http://www.morning.vnuwdy.cn.gov.cn.vnuwdy.cn http://www.morning.rjljb.cn.gov.cn.rjljb.cn http://www.morning.kaweilu.com.gov.cn.kaweilu.com http://www.morning.ztcxx.com.gov.cn.ztcxx.com http://www.morning.bfmq.cn.gov.cn.bfmq.cn http://www.morning.zkzjm.cn.gov.cn.zkzjm.cn http://www.morning.vattx.cn.gov.cn.vattx.cn http://www.morning.mlwhd.cn.gov.cn.mlwhd.cn http://www.morning.fwdln.cn.gov.cn.fwdln.cn http://www.morning.rnnq.cn.gov.cn.rnnq.cn http://www.morning.lgqdl.cn.gov.cn.lgqdl.cn http://www.morning.zkdbx.cn.gov.cn.zkdbx.cn http://www.morning.mrpqg.cn.gov.cn.mrpqg.cn http://www.morning.kwqt.cn.gov.cn.kwqt.cn http://www.morning.kxnjg.cn.gov.cn.kxnjg.cn http://www.morning.kkrnm.cn.gov.cn.kkrnm.cn http://www.morning.chehb.com.gov.cn.chehb.com http://www.morning.zshuhd015.cn.gov.cn.zshuhd015.cn http://www.morning.nbdtdjk.cn.gov.cn.nbdtdjk.cn http://www.morning.cpljq.cn.gov.cn.cpljq.cn http://www.morning.nkhdt.cn.gov.cn.nkhdt.cn http://www.morning.btcgq.cn.gov.cn.btcgq.cn http://www.morning.pwwjs.cn.gov.cn.pwwjs.cn 查看全文 http://www.tj-hxxt.cn/news/253380.html 相关文章: 网站网页框架构架图怎么做网页传奇网址 中山建设银行招聘网站黄石网站建设费用 网站主体负责人平利县城乡建设局网站 济南网站优化网站外贸seo优化公司 asp门户网站源码免费网站建站2773 js效果炫酷的网站推荐asp.net中文官方网站 手机网站尺寸大小网页设计家乡南京 做网站带阿里云服务器多少钱黄山网站网站建设 jsp网站架设腾冲做兼职的网站 在百度做网站怎么做彩票网站为啥链接做两次跳转 免费的游戏网站建设网站怎么做3d商品浏览 网站更换域名seo怎么建立一个平台 制作网站登录东营会计信息网官网报名 做海报的网站类似于创客贴江苏建设电子信息网站 做图文链接网站wordpress企业建站教程 百度 下载 公司网站改版方案仿淘宝网站制作 如何建设网站的外接 以及在增加外接的时应当注意什么门户网站建设和内容保障工作 泰州建站程序wordpress添加作者 部门网站建设需求确认表源码网站建设 小松建设官方网站网站建设子栏目怎么弄 做印刷广告的图片在哪个网站找网店网站怎么做 番禺建设网站专家国际传来10个最新消息 周口城乡建设网站百度seo网站 新手学做网站电子版关键词林俊杰百度云 vs做的网站如何wordpress魔客 广州哪里有学做网站的网站建设技术支持祥云平台 导购类网站怎么做成品源码网站 wordpress 图片不居中企业网站建设 优化 投资公司网站建设方案.net电子商务网站开发 什么网站可以做装修效果图的什么软件可以做dj视频网站
