---

1、概念

解析漏洞主要是一些特殊文件被Apache、IIS、Nginx等Web服务器在某种情况下解释成脚本文件格式并得以执行而产生的漏洞

---

2、Apache解析漏洞 CVE-2017-15715

影响范围：2.4.0~2.4.29版本

此漏洞形成的根本原因，在于$,正则表达式中$不仅匹配字符串结尾位置，也可以匹配\n 或 \r ，在解析PHP时，1.php\x0A将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。

上传文件test.php. 抓包 修改 php后面的点(2e) 为 换行(0a)
访问 test.php%0a

---

3、Apache AddHandler解析漏洞

Apache默认一个文件可以有多个后缀名，每次识别从右到左识别，当最右边的后缀无法识别时，则继续向左识别。mime.types中记录apache可识别的后缀名。

添加AddHandler，使得任何文件只要包含.php后缀名的文件都会被当作php文件解析为了使php文件可以被解析，用户自己添加了AddHandler：AddHandler application/xhttpd-php .php

---

4、IIS6 解析漏洞（;）

基于文件名：该版本默认会将*.asp;.jpg此种格式的文件名，当成asp解析。

原理是服务器默认不解析 ; 号及其后面的内容相 当于截断。

---

5、IIS6 解析漏洞（*.asp/目录）

基于文件夹名，该版本默认会将 *.asp/目录下的所有文件当成asp解析。

当在网站下建立文件夹的名字为*.asp、*.asa、*.cer、*.cdx 的文件夹，那么其目录内的任何扩展名的文件都会被IIS当做asp文件来解释并执行。

注意：微软不认为这一个是漏洞，因为正常情况下，是无法创建 *.asp 命名的文件夹的。

---

6、IIS7 解析漏洞（ISAP或CGI的模式下）

服务器是使用IIS7环境，并且在ISAP或CGI的模式下，在任意文件，如test.jpg后面加上 /.php ，会自动将test.jpg解析为php文件。

例如：127.0.0.1/test.jpg/.php 会被解析成 127.0.0.1/test.php

---

7、nginx解析漏洞（cgi.fix_pathinfo）

nginx查看url，得到.php结尾，将路径传递给php fastcgi处理程序,nigin传递给php的路径为

php根据url映射，在服务器寻找xxx.php文件，但是xxx.php文件不存在，由于cgi.fix_pathinfo是默认开启。php会继续检查 路径存在的文件，并将多余部分当作PATH_INFO，接着找到文件存在.jpg文件，后以php形式执行.jpg内容，并将/xxx.php 存储在PATH_INFO后丢弃。

• 举例来说：
  1）上传了一个图片木马文件：upload/1.jpg
  2）然后访问方式是：upload/1. jpg /1.jlkk/1.php
  3）这时后系统会从后面开始找，先去找1.php，没找到；接着往前找1.jlkk，也没找到；再往前找1. jpg，找到了。
  4）系统就会把找到的1.jpg来当成是最后的一个1.php来当成PHP文件执行。

---

8、nginx解析漏洞（%00空字节）

Nginx如下版本： 0.5.*、0.6.*、0.7 <= 0.7.65、0.8 <= 0.8.37 该漏洞不受cgi.fix_pathinfo影响，当其为0时，依旧解析。

1. 生成一个upload/info.jpg格式的木马文件
2. 使用burp抓包，访问info.jpg，修改为info.jpg…php , 在16进行模式下，修改jpg后面的 . ，为00
3. 访问时就直接访问upload/info.jpg .php
4. 这时就直接会把info.jpg当成info.php来执行。

---

9、总结

从攻击者的角度来给上传分类：

1）轻量级检测绕过

a.绕过前端JavaScript检测：使用Burp抓包改包。
b.绕过服务器端MIME类型检测：使用Burp抓包改包。

2）路径/文件扩展名检测绕过

黑名单检测方式

• 文件名大小写绕过；
• 名单列表绕过；
• 特殊文件名绕过；
• 0x00截断绕过；
• .htaccess文件攻击；
• 本地文件包含漏洞；
• Apache解析漏洞；
• IIS解析漏洞；
• Nginx解析漏洞；

白名单检测方式

• 0x00截断绕过；
• 本地文件包含漏洞；
• Apache解析漏洞；
• IIS解析漏洞；
• Nginx解析漏洞；

3）文件内容检测方式

对文件进行恶意代码注入，再配合解析漏洞（或文件包含漏洞）。

---