马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
x
漏洞简介
pache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个剖析漏洞,在剖析PHP时,1.php\x0A将被按照PHP后缀进行剖析,导致绕过一些服务器的安全策略。
漏洞情况
vulhub/httpd/CVE-2017-15715
Vulhub - Docker-Compose file for vulnerability environment
漏洞复现
进入vulhub项目对应的目录:cd vulhub-master/httpd/CVE-2017-15715
编译容器:“docker-compose build”
启动Docker容器,输入命令:“docker-compose up -d”。
检察容器状态,输入命令:“docker ps”并检察对应容器ID。
进入容器,输入命令:“docker exec -it 容器id /bin/bash”。
该漏洞属于用户设置不当所产生的,看一下设置文件信息,输入命令“cat /etc/apache2/conf-available/docker-php.conf”,如图所示。
前三行的内容意思是将全部以“.php”为后缀的文件内容当作PHP代码进行剖析,但是却使用了“$”进行文件匹配,这就导致了漏洞的产生。这个符号在正则表达式中是匹配字符串中结尾的位置,若存在换行则匹配换行符为结尾,也就是说可以使用换行符使“$”与其匹配从而绕过黑名单机制实现文件上传。
如果在黑名单的后缀不让上传php jsp等,就可以通过php%0a绕过黑名单,但是必要包管这个后缀是能够正常剖析的脚本代码。如果是白名单可能不可(在白名单内里才可以上传jpj,png,gif 等),但是如果没有考虑以最后一个点为后缀,通过1.jpg.php%0a的形式也可能能够绕过。
检察index.php内容,代码如下:
- <?php
- if(isset($_FILES['file'])) {
- $name = basename($_POST['name']);
- $ext = pathinfo($name,PATHINFO_EXTENSION);
- if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'])) {
- exit('bad file');
- }
- move_uploaded_file($_FILES['file']['tmp_name'], './' . $name);
- }
启动后Apache运行在http://your-ip:8080
创建一个文件,写入<?php phpinfo();?>
上传文件可以看到是上传失败
通过burp抓包把在实际上传文件名后加0a,也就是filename的值加上0a
我用的burp是2021版本,没有hex选项,可以通过选择单个字符修改
老版本可以通过hex修改,修改完,文件正常上传。
访问http://your-ip:8080/test.php%0A,可以看到PHP代码已经被剖析,如图所示。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
