我們都知道windows2003 + IIS6.0下,如果目錄結構中有xxx.asp這樣的目錄,那麼所有這個目錄下的檔案不管擴充名為什麼,都會當作asp來解析。我們一般稱這個漏洞為windows2003+iis6.0目錄解析漏洞。但是大家可能不知道的是,apache伺服器也存在類似的解析漏洞
我們來做下實驗,我在本地搭建好了一個apache+php的測試平台
兩個檔案phpinfo.php phpinfo.php.a ,我們來通路下phpinfo.php.a
<a href="http://192.168.99.110/phpinfo.php.a">http://192.168.99.110/phpinfo.php.a</a>
可以解析,換成其他字尾仍然可以
不管檔案最後字尾為什麼,隻要是.php.*結尾,就會被Apache伺服器解析成php檔案,問題是apache如果在mime.types檔案裡面沒有定義的擴充名在諸如x1.x2.x3的情況下,最後一個x3的沒有定義,他會給解析成倒數第二個的x2的定義的擴充名。是以xxx.php.rar或者xxx.php.111這些預設沒在mime.types檔案定義的都會解析成php的。同樣如果是cgi或者jsp也一樣。。。
那麼如果涉及到web程式的上傳頁面,如果上傳的檔案名是我們可以定義的,那麼我們完全可以上傳一個xxx.php.jpg這樣名字的webshell,apache仍然會當作php來解析,我們再來測試下jpg
防禦方法:
apache配置檔案,禁止.php.這樣的檔案執行,配置檔案裡面加入
<Files ~ "/.(php.|php3.)">
Order Allow,Deny
Deny from all
</Files>
儲存,從起apache以後,我們再來看看
OK,防禦方法就是這樣