文章总结： 这篇文章介绍了应急响应中文件上传漏洞排查的实战案例，攻击者通过swagger未授权访问发现上传接口，利用IIS6.0解析漏洞上传cer格式的冰蝎木马。文章详细描述了应急响应处理步骤、漏洞成因分析、攻击复现过程，并提供了修复建议。最后总结了应急响应的标准流程，包括断网关机、清除木马、分析危害、排查可疑项目、分析漏洞成因并进行修复。 综合评分： 88 文章分类： 应急响应,漏洞分析,WEB安全,渗透测试,实战经验

4.2、IIS 7.0/IIS 7.5/ Nginx <8.03畸形解析漏洞

在默认Fast-CGI开启状况下,攻击者上传一个名为1.jpg，内容为 <?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?> 的文件，然后访问1.jpg/.php,在这个目录下就会生成一句话木马 shell.php

4.3、Nginx <8.03 空字节代码执行漏洞

影响版:0.5.,0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37

Nginx 环境下，上传图片马，然后访问xxx.jpg%00.php，执行其中的代码

4.4、Apache解析漏洞

上传的文件命名为：test.php.x1.x2.x3，Apache是从右往左判断后缀，如果为不可识别解析,就再往左判断 比如 1.php.rar``.rar这种后缀是apache不可识别解析,apache就会把1.php.rar解析成php

修复：

配置策略

由于软件的修复需要一定时间，所以配置防火墙策略，禁止外网ip访问swagger目录和上传路径；

代码修复

在代码层面，将swagger、actuator和上传文件接口配置访问权限验证；

总结：

当遇到类似的应急响应事件后，可以按照以下几个步骤进行处理： 1、先对需要处理的事件现场情况进行详细的了解，与客户商量先将受害服务器进行断网关机处理，如果有主机安全管理设备，先对所有主机资产进行病毒查杀。 2、先将木马文件、可疑文件保存本地，然后将服务器上的可疑文件进行清除。 3、分析木马文件是哪种类型的木马，会造成什么危害，再做出下一步处置。 4、排查服务器上的可疑项目，如文件排查、进程排查、内存排查等等，防止攻击者留下后门 5、分析漏洞成因，然后先使用waf、防火墙等设备紧急修复漏洞，再等研发人员来彻底修复漏洞。

02

0x2 内部小圈子详情介绍

我们是神农安全，点赞 + 在看 铁铁们点起来，最后祝大家都能心想事成、发大财、行大运。

内部圈子介绍

圈子专注于更新src/红蓝攻防相关：

1、维护更新src专项漏洞知识库，包含原理、挖掘技巧、实战案例2、知识星球专属微信“小圈子交流群”3、微信小群一起挖洞4、内部团队专属EDUSRC证书站漏洞报告5、分享src优质视频课程（企业src/EDUSRC/红蓝队攻防）6、分享src挖掘技巧tips7、不定期有众测、渗透测试项目（一起挣钱）8、不定期有工作招聘内推（工作/护网内推）9、送全国职业技能大赛环境+WP解析（比赛拿奖）10、十个专栏会持续更新~提前续费有优惠，好用不贵很实惠11、每日内部资料分享，内部圈子资料1000+12、联系圈主获取：内部漏洞知识库+圈子使用手册+内部圈子交流群13、VX：routing_love，技术交流+疑问解决

内部圈子专栏介绍

知识星球内部共享资料截屏详情如下

（只要没有特殊情况，每天都保持更新）

知识星球——神农安全

星球现价 ￥50元

如果你觉得应该加入，就不要犹豫，价格只会上涨，不会下跌

星球人数少于1400人 50元/年

星球人数少于1600人 65元/年

（新人优惠卷20，扫码或者私信我即可领取）

欢迎加入星球一起交流，券后价仅50元！！！ 即将满1400人涨价

长期更新，更多的0day/1day漏洞POC/EXP

内部知识库–（持续更新中）

知识库部分大纲目录如下：

知识库跟知识星球联动，基本上每天保持更新，满足圈友的需求

知识库和知识星球有师傅们关注的EDUSRC和CNVD相关内容（内部资料）

还有网上流出来的各种SRC/CTF等课程视频

量大管饱，扫描下面的知识星球二维码加入即可

不会挖CNVD？不会挖EDURC？不会挖企业SRC？不会打nday和通杀漏洞？

直接加入我们小圈子：知识星球+内部圈子交流群+知识库

快来吧！！

神农安全知识库内部配置很多内部工具和资料💾，玄机靶场邀请码+EDUSRC邀请码等等

快要护网来临，是不是需要护网面试题汇总？问题+答案（超级详细🔎）

最后，师傅们也是希望找个好工作，那么常见的渗透测试/安服工程师/驻场面试题目，你值得拥有！！！

内部小圈子——圈友反馈（良心价格）

神农安全公开交流群

有需要的师傅们直接扫描文章二维码加入，然后要是后面群聊二维码扫描加入不了的师傅们，直接扫描文章开头的二维码加我（备注加群）

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

往期回顾

手把手js逆向断点调试&js逆向前端加密对抗&企业SRC实战分享

浅谈src漏洞挖掘中容易出洞的几种姿势

HVV护网行动 | 分享最近攻防演练HVV漏洞复盘

攻防演练｜分享最近一次攻防演练RTSP奇特之旅

JS漏洞挖掘｜分享使用FindSomething联动的挖掘思路

渗透测试 ｜ 从jeecg接口泄露到任意管理员用户接管+SQL注入漏洞

分享SRC中后台登录处站点的漏洞挖掘技巧

企业SRC支付漏洞&EDUSRC&众测挖掘思路技巧操作分享

渗透测试 ｜ 分享某次项目上的渗透测试漏洞复盘

【宝典】分享云安全浪潮src漏洞挖掘技巧

实战SRC挖掘｜微信小程序渗透漏洞复盘

综合资产测绘 | 手把手带你搞定信息收集

【宝典】针对若依系统nday的常见各种姿势利用

查看原文：《「干货分享」应急响应之文件上传漏洞排查》