最新版本:ygbook仿牛牛書(shū)城自動(dòng)采集小說(shuō)網(wǎng)站源碼 自適應電腦+手機端

　　松開(kāi)你的眼睛，戴上耳機，聽(tīng)~！

　　ygbook仿牛書(shū)城自動(dòng)采集新穎網(wǎng)站源代碼自適應電腦+手機深度優(yōu)化

　　優(yōu)點(diǎn)

　　1.網(wǎng)站源代碼深度SEO優(yōu)化（快速網(wǎng)頁(yè)收錄）。

　　2.自適應（自適應手機/電腦）。

　　3.網(wǎng)站背景采集小說(shuō)（無(wú)需使用采集器，背景具有自動(dòng)采集+手動(dòng)采集新穎功能）。

　　特征

　　1. 百度站長(cháng)后臺給予標志提交權限

　　2.自動(dòng)采集+自動(dòng)推送+手機電腦適配

　　3.深受搜索引擎喜愛(ài)，30天建網(wǎng)站收錄2w多頁(yè)

　　最新版本:Web滲透之文件上傳漏洞總結

　　概述

　　文件上傳漏洞是指用戶(hù)上傳可執行腳本文件，并通過(guò)該腳本文件獲得執行服務(wù)器端命令的能力。一個(gè)常見(jiàn)的場(chǎng)景是Web服務(wù)器允許用戶(hù)上傳圖片或保存普通文本文件，用戶(hù)繞過(guò)上傳機制上傳惡意代碼并執行控制服務(wù)器。顯然，這種漏洞是getshell最快最直接的方法之一。需要注意的是，上傳文件本身沒(méi)有問(wèn)題。問(wèn)題是文件上傳到服務(wù)器后服務(wù)器如何處理和解釋文件。

　　驗證上傳文件的常用方法

　　客戶(hù)驗證

　　使用javascript驗證上傳文件的后綴是否合法，可以使用白名單，也可以使用黑名單來(lái)判斷：當你瀏覽加載的文件，但沒(méi)有點(diǎn)擊上傳按鈕時(shí)，會(huì )彈出一個(gè)對話(huà)框up，內容是：只允許上傳.jpg/.jpeg/.png后綴，此時(shí)不發(fā)送數據包。

　　服務(wù)器端驗證

　　驗證請求頭的content-type字段，例如使用PHP檢測

　　if($_FILES['userfile']['type'] != "image/gif"){

....

}

　　復制

　　3、自己寫(xiě)正則匹配，判斷文件的幻數（文件頭）內容是否符合要求。一般來(lái)說(shuō)，屬于白名單的檢測。常見(jiàn)的文件頭（文件頭標志）如下

　　(1).JPEG;.JPE;.JPG, "JPGGraphicFile" (FFD8FFFE00)

　　(2).gif, "GIF89A" (474946383961)

　　(3).zip, "ZipCompressed" (504B0304)

　　(4).doc;.xls;.xlt;.ppt;.apr, "MSCompoundDocumentv1orLotusApproachAPRfile" (D0CF11E0A1B11AE1

　　4.文件加載檢測：一般調用API或函數進(jìn)行文件加載測試，如圖片渲染測試，測試結果正常時(shí)允許上傳 1.一次性渲染（代碼注入） 2.二次渲染

　　5.后綴名黑名單驗證

　　6.后綴名白名單驗證

　　7. 定制

　　對應的檢查繞過(guò)方式1.客戶(hù)端檢查繞過(guò)： 2.服務(wù)器繞過(guò)

　　POST /upload.php HTTP/1.1

TE: deflate,gzip;q=0.3

Connection: TE, close

Host: localhost

User-Agent: libwww-perl/5.803

Content-Type: multipart/form-data; boundary=xYzZY

Content-Length: 155

--xYzZY

Content-Disposition: form-data; name="userfile"; filename="shell.php"

Content-Type: image/gif (原為 Content-Type: text/plain)

--xYzZY-

　　復制

　　可以解析的文件擴展名列表：

　　jsp jspx jspf

　　asp asa cer aspx

　　php php php3 php4 php

　　執行程序

　　test.php.jpg

　　復制

　　上傳服務(wù)器解析漏洞結合其他漏洞IS5.x-6.x解析漏洞

　　使用iis5.x-6.x版本的服務(wù)器大多是windows server 2003，網(wǎng)站比較老，開(kāi)發(fā)語(yǔ)句一般是asp；這個(gè)解析漏洞只能解析asp文件，不能解析aspx文件。

　　目錄解析 (6.0)

　　形式： 原理：服務(wù)器默認將.asp和.asp目錄下的文件解析成asp文件。

　　文件解析

　　格式：;.jpg 原理：服務(wù)器不解析;后面的內容 默認為數字，因此 xx.asp;.jpg 被解析為 asp 文件。解析文件類(lèi)型

　　除了asp，IIS6.0默認的可執行文件還收錄這三種：

　　/test.asa

/test.cer

/test.cdx

　　復制

　　apache解析漏洞

　　漏洞原理

　　Apache解析文件的規則是從右到左判斷和解析。如果后綴名是無(wú)法識別的文件解析，則判斷向左。比如test.php.qwe.asd“.qwe”和“.asd”是apache無(wú)法識別的兩個(gè)后綴，apache會(huì )將wooyun.php.qwe.asd解析成php。

　　漏洞表格

　　其余配置問(wèn)題導致漏洞

　　如果 Apache 的 conf 中有這樣一行配置 AddHandler php5-script .php 那么只要文件名中收錄 .php，即使文件名是 test2.php.jpg 也會(huì )用 php 執行。如果 Apache 的 conf 中有這樣一行配置 AddType application/x-httpd-php.jpg 即使擴展名是 jpg 也可以在 php 中執行。

　　維修計劃

　　apache配置文件，禁止執行.php.等文件，在配置文件中加入偽靜態(tài)可以解決這個(gè)問(wèn)題，重寫(xiě).php.*等文件，打開(kāi)apache的httpd.conf，找到LoadModule rewritemodule modules/modrewrite。所以去掉#號，重啟apache，在網(wǎng)站根目錄下創(chuàng )建.htaccess文件

RewriteEngine On

RewriteRule .(php.|php3.) /index.php

RewriteRule .(pHp.|pHp3.) /index.php

RewriteRule .(phP.|phP3.) /index.php

RewriteRule .(Php.|Php3.) /index.php

RewriteRule .(PHp.|PHp3.) /index.php

RewriteRule .(PhP.|PhP3.) /index.php

RewriteRule .(pHP.|pHP3.) /index.php

RewriteRule .(PHP.|PHP3.) /index.php

　　復制

　　nginx解析漏洞

　　漏洞原理

　　默認情況下，Nginx 支持 CGI 形式的 PHP 解析。通常的做法是在 Nginx 配置文件中通過(guò)正則匹配來(lái)設置 SCRIPT_FILENAME。訪(fǎng)問(wèn)這個(gè) URL 時(shí)，$fastcgi_script_name 會(huì )被設置為“phpinfo.jpg/1.php”，然后構造為 SCRIPT_FILENAME 并傳遞給 PHP CGI，但是為什么 PHP 接受這樣的參數并將 phpinfo.jpg 解析為 PHP 文件呢？? 這是關(guān)于 fix_pathinfo 選項。如果啟用此選項，將觸發(fā) PHP 中的以下邏輯：

　　PHP會(huì )認為SCRIPTFILENAME是phpinfo.jpg，而1.php是PATHINFO，所以會(huì )解析phpinfo.jpg為PHP文件

　　漏洞表格

　　.php

　　%20\0.php

　　另一種方法：上傳一個(gè)名為test.jpg的文件，然后訪(fǎng)問(wèn)test.jpg/.php，會(huì )在這個(gè)目錄下生成一句木馬shell.php。

　　IIS7.5解析漏洞

　　IIS7.5的漏洞與nginx類(lèi)似，因為在php配置文件中啟用了cgi.fix_pathinfo，這不是nginx或iis7.5本身的漏洞。

　　操作系統相關(guān)上傳文件名不符合Windows文件命名規則

　　test.asp.

test.asp(空格)

test.php:1.jpg

test.php::$DATA

shell.php::$DATA…….

　　復制

　　部分版本的Windows系統會(huì )自動(dòng)刪除不符合規則的符號后面的內容。

　　linux下的后綴名是區分大小寫(xiě)的，所以一般檢測也會(huì )區分大小寫(xiě)，但是有些解析器是不區分大小寫(xiě)的，比如php，上傳php是不解析的，可以嘗試上傳php后綴的文件名。cms，編輯器漏洞常見(jiàn)WAF繞過(guò)手勢大小上限：WAF設置待驗證用戶(hù)數據大小上限。這時(shí)候就可以構造一個(gè)大文件的木馬了，前面填滿(mǎn)垃圾內容文件名：對于早期版本的安全狗，可以多加一個(gè)文件名繞過(guò)，

　　或者可以通過(guò)將文件名放在非常規位置來(lái)繞過(guò)它（這里的文件名是指http請求頭中上傳的文件名）

　　post/get：如果WAF規則是：只檢測特定請求類(lèi)型的數據包，但服務(wù)器在接收時(shí)使用request。這時(shí)候通過(guò)修改請求頭的請求方法，可以繞過(guò)使用waf本身的缺陷。針對不同的waf產(chǎn)品可以搜索對應的漏洞，繞過(guò)NTFS ADS功能：ADS是NTFS磁盤(pán)格式的一個(gè)功能，用于NTFS交換數據流。上傳文件時(shí)，如果waf沒(méi)有正確匹配請求體的文件名，可能會(huì )導致繞過(guò)文件重命名繞過(guò)：如果web程序重命名了文件名中除擴展名之外的部分，那么可以構造更多的點(diǎn)、符號、 etc. 截斷結合其他規則：例如0x00 etc. test.php(0x00).jpg test.php.jpg 路徑/upload/1.php(0x00)，文件名1.jpg，

　　偽代碼演示：

　　name= getname(httprequest) //假如這時(shí)候獲取到的文件名是 help.asp.jpg(asp 后面為 0x00)

type =gettype(name) //而在 gettype()函數里處理方式是從后往前掃描擴展名，所以判斷為 jpg

if(type == jpg)

SaveFileToPath(UploadPath.name, name) //但在這里卻是以 0x00 作為文件名截斷

//最后以 help.asp 存入路徑里

　　復制

　　可以上傳.htaccesss，上傳當前目錄下的.htaccess文件，修改如下：

　　AddType application/x-http-php .jpg #(上傳的jpg 均以php執行)

　　復制

　　上傳.htaccess后，上傳成功后，上傳jpg文件，內容為一句話(huà)

　　文件驗證建議

　　以上幾點(diǎn)可以防止大部分上傳漏洞，但需要與服務(wù)器容器結合使用。如果解析漏洞仍然存在，那么就沒(méi)有絕對的安全性。

　　參考文章：

　　%E4%B8%8A%E4%BC%A0%E6%9C%A8%E9%A9%AC%E5%A7%BF%E5%8A%BF%E6%B1%87%E6%80%BB-% E6%AC%A2%E8%BF%8E%E8%A1%A5%E5%85%85/