Apache HTTPD 换行剖析漏洞(CVE-2017-15715)
漏洞简介pache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个剖析漏洞,在剖析PHP时,1.php\x0A将被按照PHP后缀进行剖析,导致绕过一些服务器的安全策略。
漏洞情况
vulhub/httpd/CVE-2017-15715
Vulhub - Docker-Compose file for vulnerability environment
漏洞复现
进入vulhub项目对应的目录:cd vulhub-master/httpd/CVE-2017-15715
编译容器:“docker-compose build”
启动Docker容器,输入命令:“docker-compose up -d”。
检察容器状态,输入命令:“docker ps”并检察对应容器ID。
进入容器,输入命令:“docker exec -it 容器id /bin/bash”。
该漏洞属于用户设置不当所产生的,看一下设置文件信息,输入命令“cat /etc/apache2/conf-available/docker-php.conf”,如图所示。
https://i-blog.csdnimg.cn/direct/cdfd2601d4204d3a96281b324a6c93f8.png
前三行的内容意思是将全部以“.php”为后缀的文件内容当作PHP代码进行剖析,但是却使用了“$”进行文件匹配,这就导致了漏洞的产生。这个符号在正则表达式中是匹配字符串中结尾的位置,若存在换行则匹配换行符为结尾,也就是说可以使用换行符使“$”与其匹配从而绕过黑名单机制实现文件上传。
如果在黑名单的后缀不让上传php jsp等,就可以通过php%0a绕过黑名单,但是必要包管这个后缀是能够正常剖析的脚本代码。如果是白名单可能不可(在白名单内里才可以上传jpj,png,gif 等),但是如果没有考虑以最后一个点为后缀,通过1.jpg.php%0a的形式也可能能够绕过。
检察index.php内容,代码如下:
<?php
if(isset($_FILES['file'])) {
$name = basename($_POST['name']);
$ext = pathinfo($name,PATHINFO_EXTENSION);
if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'])) {
exit('bad file');
}
move_uploaded_file($_FILES['file']['tmp_name'], './' . $name);
} 可以看到除了上传文件外,还要以POST请求方式传入参数name,其值作为文件上传后最后的名字,同时设置了黑名单过滤name值传递的带有黑名单信息的后缀。如果通过 $FILES["file"]获 取文件名的话,会把\x0a自动去除,所以 $FILES["file"]这种方式获取文件名也不会造成这个漏洞.
启动后Apache运行在http://your-ip:8080
https://i-blog.csdnimg.cn/direct/f170a1275f254d95920f03a37b7b4dc9.png
创建一个文件,写入<?php phpinfo();?>
https://i-blog.csdnimg.cn/direct/17ce3960998d4203b3ff756173cc9042.png
上传文件可以看到是上传失败
https://i-blog.csdnimg.cn/direct/1e2dce5236ef4c71b22eee7dac480171.png
通过burp抓包把在实际上传文件名后加0a,也就是filename的值加上0a
https://i-blog.csdnimg.cn/direct/8aaa2d21e2bf4a69a6d5d6699befeab9.png
我用的burp是2021版本,没有hex选项,可以通过选择单个字符修改
https://i-blog.csdnimg.cn/direct/baeb09cba463494eb0f10038d5663749.jpeg
老版本可以通过hex修改,修改完,文件正常上传。
https://i-blog.csdnimg.cn/direct/0716f6009f534eb89b7d074d0bc9c9fe.png
访问http://your-ip:8080/test.php%0A,可以看到PHP代码已经被剖析,如图所示。
https://i-blog.csdnimg.cn/direct/091070ecd41a47ba82f2ab99040e963a.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]