文件上传漏洞（三）

本章课程都是为了拿shell而上传的。
提交漏洞本质是项目上有危害，对于不能获得shell但是能任意上传的也有，比如上传HTML文件（自带XSS的）这就是XSS漏洞。
绕过本质：检测时和真是使用时有差距。
解析漏洞：让其他后缀当做php解析。
上节课后面讲解的都是上传jpg含有php代码的，需要配合解析漏洞。
1.IIS6.0解析漏洞（windows）
（6.0版本偏老）
asp.dll，任何文件交给他，就会当做asp执行。
asa、cer、cdx默认情况会当做asp执行。
对于黑名单来说，上传这几个文件里面写asp一句马，就可以shell了。
上传漏洞上传图片马，抓包改后缀，会减去很多烦恼。
本题改成后缀cer即可。
（写名字要写复杂一点，防止和原有文件重名）
上传了之后没准会跳转，用马要在原来位置才行。
php站不代表只能执行php，没准试试asp马就可以了。
2.IIS6.0解析漏洞2、3：
test.asp;.jpg他将当做asp解析。
test.asp/123.jpg 也会当做asp解析。（这俩相当于文件夹后面有东西）
（访问时直接访问test.asp;.jpg或test.asp/123/jpg ，这与文件流不一样，得写全名）
注意：这种一般需要后台上传，因为需要他移动文件和新建文件夹的功能。
后台上传可能还有重命名功能，有时可以利用，改成生效的马。
3.CGI解析漏洞（PHP特有）
IIS7.0 7.5 和nginx可能存在。
检测方法：在原本上传的图片的地址后面加/.php，如果页面乱码了，就存在这个漏洞。
原理：PHP在连接IIS和NGINX连接时PHP-CGI要在本地开启9000端口（用来通信）
web容器认为这是一个目录11.jpg/aa.php ，里面没有aa就那么地了。
但是PHP-CGI就会认为这是个PHP需要解析。
偶尔进行目录扫描可以找到前人的一句马，爆破参数即可使用。