4、iis下isapi接口加载：（映射.php4)

http://192.168.8.48:81/abc.php4/aa/..%c1%1c../test.php?cgivartest

　　得到：

ISAPI
Server Variable Value
PATH_INFO /abc.php4/aa/..\../test.php
PATH_TRANSLATED d:\inetpub\wwwroot\abc.php4\aa\..\..\test.php
QUERY_STRING cgivartest
REQUEST_METHOD GET
SCRIPT_NAME /abc.php4
SERVER_PROTOCOL HTTP/1.1
URL /abc.php4

　　大家看看，apache、iis两者都不是执行的 SCRIPT_NAME，而是执行的PATH_TRANSLATED。个人理解PATH_INFO从其名字来看只是一个路径信息，而不是一个文件。而WEB服务本身应该说带有chroot性质，所以说变量PATH_INFO应该限制rfc的“/../”，这点iis是做到了，用%5c这种rfc里面的编码要求是不行的，%c1%1c的解码是因为另一个漏洞。而apache呢，直接用%5c就可以，这显然应该说是一个漏洞。假设要执行的是PATH_TRANSLATED，那么大家试试把test.php换成别的名，比如另一种映射的名test.pl，这4种情况同样照php执行了。那意思是什么呢，就是说我可以任意以一种解释程序去执行一种影射文件，那显然与这种映射所要求的安全不符合，也就很容易导致源代码泄露漏洞。如果限制了PATH_INFO里面的“/../”,那么是不能返回上级目录，这样就不能用任意解释程序去解释一种映射文件。但想想如果这样SCRIPT_NAME、PATH_INFO、PATH_TRANSLATED几个变量是不是就有变量根本就没什么意思呢？个人理解应该是执行的是SCRIPT_NAME程序，PATH_INFO变量只是再提供给SCRIPT_NAME的一个附加的路径信息，比如用于在这路径下读取一些配置文件等。你看apache的SCRIPT_NAME变量就去掉了后面的文件名。


　　我们总结得到：

　　1、PATH_INFO应该限制rfc编码要求内的“/../”。这点apache有漏洞。这点可能导致源代码泄露，甚至导致可以访问任意文件。

　　2、PATH_TRANSLATED、PATH_INFO、SCRIPT_NAME不清楚，执行文件不清楚。这点apache、iis两者都有漏洞。这点很容易导致源代码泄露。实际上发现的有很漏洞与这脱离不了关系。可能过一段时间就会有IIS的泄露源代码漏洞补丁了，同样方法在apache上面也可以，虽然此漏洞根本原因不是因为这，但这为那漏洞提供了表现机会。那攻击主要是利用了这个漏洞加上windows文件操作的文件名末尾半个汉字截断处理漏洞，可以查看一些asp、php等源代码，过一段时间大家就可以看到了。

　　有兴趣的可以照着这实验自己做试验，看看各种环境对这些变量的处理，理解理解，很可能你自己就很容易的找到一些新漏洞呢。