天气逐渐变凉,但渗透测试的热情温度感觉不到凉,因为有我们的存在公开分享渗透实战经验过程,才会让这个秋冬变得不再冷，近期有反映在各个环境下的目录解析漏洞的检测方法,那么本节由我们sine安全的高级渗透架构师来详细的讲解平常用到的web环境检测点和网站漏洞防护办法。
3.14.1. iis
3.14.1.1. iis 6.0
后缀解析 /xx.asp;.jpg
目录解析 /xx.asp/xx.jpg (xx.asp目录下任意解析)
默认解析 xx.asa xx.cer xx.cdx
propfind 栈溢出漏洞
put漏洞 webdav任意文件上传
3.14.1.2. iis 7.0-7.5 / nginx <= 0.8.37
在fast-cgi开启状态下，在文件路径后加上 /xx.php ，则 xx.jpg/xx.php 会被解析为php文件
3.14.1.3. 其他
在支持ntfs 8.3文件格式时，可利用短文件名猜解目录文件
3.14.2. nginx
3.14.2.1. fast-cgi关闭
在fast-cgi关闭的情况下， nginx 仍然存在解析漏洞：在文件路径(xx.jpg)后面加上 %00.php ， 即 xx.jpg%00.php 会被当做 php 文件来解析
3.14.2.2. fast-cgi开启
在fast-cgi开启状态下，在文件路径后加上 /xx.php ，则 xx.jpg/xx.php 会被解析为php文件
3.14.2.3. cve-2013-4547
a.jpg\x20\x00.php
3.14.3. apache
3.14.3.1. 后缀解析
test.php.x1.x2.x3 ( x1,x2,x3 为没有在 mime.types 文件中定义的文件类型)。apache 将从右往左开始判断后缀， 若x3为非可识别后缀，则判断x2，直到找到可识别后缀为止，然后对可识别后缀进行解析
3.14.3.2. .htaccess
当allowoverride被启用时，上传启用解析规则的.htaccess
3.14.3.3. cve-2017-15715
%0a绕过上传黑名单
3.14.4. lig ,导致含有用户个人信息的页面被缓存，从而能被公开访问到。更严重的情况下，如果返回的内容包含session标识、安全问题的答案，或者csrf token。这样攻击者能接着获得这些信息，因为通常而言大部分网站静态资源都是公开可访问的。
3.15.4. 漏洞存在的条件
漏洞要存在，至少需要满足下面两个条件：
web cache功能根据扩展进行保存，并忽略caching header;
当访问如 http://域名/home.php/non-existent.css 不存在的页面，会返回 home.php 的内容。
3.15.5. 漏洞防御
防御措施主要包括3点：
设置缓存机制，仅仅缓存http caching header允许的文件，这能从根本上杜绝该问题;
如果缓存组件提供选项，设置为根据content-type进行缓存;
访问 http://域名/home.php/non-existent.css 这类不存在页面，不返回 home.php 的内容，而返回404或者302。
对图片上传目录进行脚本权限限制,对上传扩展这里做过滤判断。
如果缓存组件提供选项，设置为根据content-type进行缓存;
对get url的地址进行waf的安全过滤,如果对这些安全防护部署以及渗透测试不熟悉的话,建议可以像专业的网站安全公司来处理解决,国内做的比较好的推荐sinesafe,启明星辰,绿盟，等等专业的。

---