Apache HTTPD 换行解析漏洞(CVE-2017-15715)
漏洞分析
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A
将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
中指定的表达式可以将“ $”与恶意文件名中的换行符匹配,而不是仅匹配文件名的末尾。
表示配置匹配后缀名文件的防盗链,而这个解析漏洞根本原因就是$ 这个符号,这个符号在正则表达式中是匹配字符串中结尾的位置,也就死说可以利用换行符使$ 与其匹配从而绕过黑名单机制实现文件上传,验证逻辑又是先会对上传的文件正则匹配验证后缀名是否包含了php,因为解析漏洞的存在,这里不会过滤php%0a,后续的黑名单机制也就如同摆设了
漏洞复现
进入docker容器apache的网页主目录中查看index.php文件
漏洞的成因就是apache中的配置文件中,如图
这个配置文件我找了很久在/etc/apache2/conf-avaliable/docker-php.conf
而我一直以为在/etc/apache2/apache2.conf下并且是文件为空,都是不好好学docker的后果吧
简单写一个可以上传文件的表单
抓包修改请求方式为POST方式,更改正文编码
构造文件内容并上传,第一次上传1.php会报错,根据解析特性使$与换行符 x0a匹配从而绕过黑名单机制进而上传。
返回状态码为200,上传成功访问192.168.11.147:8080/1.php%0A页面回显出php的相关信息