Apache HTTPD 换行解析漏洞(CVE-2017-15715)

已于 2023-07-23 12:30:26 修改
阅读量338 收藏
点赞数 1
分类专栏: Web安全 漏洞复现 文章标签: apache 网络安全 web安全
于 2023-07-23 12:24:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rumil/article/details/131878229
版权

目录

Apache HTTPD 换行解析漏洞(CVE-2017-15715)

漏洞描述

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0a将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

产生原因:apache这次解析漏洞的根本原因就是$这个表达符,在正则表达式中,我们都知道$用来匹配字符串结尾位置,我们来看看菜鸟教程中对正则表达符$的解释:

匹配输入字符串的结尾位置。如果设置了 RegExp 对象的 Multiline 属性,则 $ 也匹配 ‘\n’ 或 ‘\r’。要匹配 $ 字符本身,请使用 $。

因此,在设置了 RegExp 对象的 Multiline 属性的条件下,$还会匹配到字符串结尾的换行符

image-20230723110438263

环境搭建

使用vulhub靶场环境进行漏洞复现

进入到vulhub文件夹进入对应目录,执行命令开启漏洞环境

docker compose build
docker compose up -d

image-20230723110722687

查看是否启动成功
docker ps
或docker-compose ps
查看对应的端口,查看ip,访问即可

image-20230723110915374

查看ip地址
ifconfig
访问:
http://your-ip:8080

成功访问,环境如下:

接下来进行复现即可

image-20230723111117026

详细的搭建步骤参考官方链接:https://vulhub.org

漏洞复现

正常的去上传一个php文件看能否上传上去,上传后发现无法正常的上传

image-20230723111710427

提交后:

image-20230723111729046

根据源码发现为黑名单限制,无法上传php等一系列后缀的文件

image-20230723111537545

源码:

<?php
if(isset($_FILES['file'])) {
    $name = basename($_POST['name']);
    $ext = pathinfo($name,PATHINFO_EXTENSION);
    if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'])) {
        exit('bad file');
    }
    move_uploaded_file($_FILES['file']['tmp_name'], './' . $name);
} else {

?>
    ...

分析代码文件名$name是接受POST请求中的数据,因为POST接收不会去掉我们添加的\n,如果使用 $_FILES[‘file’][‘name’]去接收文件名,则会吧\n去掉,所以要满足此漏洞 的条件之一就是使用POST接收文件名。

$ext等于POST中的文件名后缀,所以文件名不能是[‘php’, ‘php3’, ‘php4’, ‘php5’, ‘phtml’, ‘pht’],但是 可以是php\n的这种方式,就绕过了if判断,同时这样的文件还以被解析成PHP

跟进配置文件

<FilesMatch \.php$>

看到在正则中是 \.php$,因为结尾有个$符号,结合上述原理, $匹配配 ‘\n’ 或 ‘\r’,所以我们修 改数据包在文件名后加\n, \n的十六进制为0a

通过以上的分析,我们再次上传,使用bp抓包,修改数据包的十六进制信息

image-20230723120523317

找到此处,可以将0d修改为0a,或者不修改直接插入0a也可以,均可实现。修改完成后放包即可

image-20230723120646113

可发给重发器进行测试,看是否能上传成功

image-20230723120823839

观察网页的变化和提示,没有错误的提示,空白,说明上传成功

image-20230723120703458

访问该上传的文件,看是否被解析,成功被解析

http://192.168.100.134:8080/cmd.php%0a

image-20230723120931850

同理将php一句话换成一句话木马,即可getshell获取权限,使用蚁剑连接即可

image-20230723121333462

蚁剑连接:

成功连接,并正常进入

image-20230723121424189文章不妥之处,欢迎批评指正!

rumilc
关注
专栏目录
CVE-2018-18778.docx
07-23
**CVE-2018-18778:mini_httpd任意文件读取漏洞详解** CVE-2018-18778 是一个针对 mini_httpd 服务器的严重安全漏洞,它允许攻击者通过精心构造的HTTP请求来读取服务器上的任意文件。这个漏洞源于 mini_httpd 对于...
Apache HTTPD 换行解析漏洞
weixin_60719780的博客
12-07 1377
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。影响版本:Apache 2.4.0~2.4.29 存在一个解析漏洞;在解析PHP时,将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。我们查看一下配置:读取配置文件,前三行的意思是把以 结尾的文件当成 文件执行。问题就在它使用的是 符号匹配的,我们都知道这个符号在正则表达式中的意思是匹配字符串的末尾,是会匹配换行符的,那么漏洞就这样产生了。 进入容器里,打开index.php,发现如果文件后缀名为 php、
Apache Httpd 常见漏洞解析(全)
最新发布
黑战士的博客
02-17 3599
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞。在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
Apache HTTPD 换行解析漏洞CVE-2017-15715)复现(vulhub)
qq_51398553的博客
06-18 428
可以看到,在该配置文件中,前三行的意思是将所有以.php为后缀的文件内容当作php文件进行解析,但使用$符对文件进行匹配。定位文件末的方法:在右边找到文件名,然后在左边对应的Hex值的后面有0d0a,0d是回车,0a是换行,在0d的前面插入0a。值得注意的是,当我用Tab键补全的时候,终端换行了,也可以说明文件名确实有换行符的存在。从源代码中可以看出,网站对文件的后缀名进行了过滤,将以php,php3,php4,php5,phtml以及pht为后缀的文件名放入黑名单。,拉取镜像,并查看服务相关信息。
apache-httpd-2.4.58-win64-VS17.zip
12-15
标题 "apache-httpd-2.4.58-win64-VS17.zip" 指的是 Apache HTTP 服务器的2.4.58版本,适用于64位Windows操作系统,并且是使用Visual Studio 2017编译的。这个压缩包包含了一系列用于在Windows平台上搭建和运行...
Apache httpd-2.4.54-o305-x64-vs17
08-24
apache httpd-2.4.54-o305-x64-vs17.zip, 最新版, 修改了之前部分bug Use the links below to download the Apache Portable Runtime from one of our mirrors. You must verify the integrity of the downloaded ...
apachehttpd-2.4.52-o111m-x86-vc15
02-15
【描述】"apachehttpd-2.4.52-o111m-x86-vc15 32位"进一步强调了这是32位架构的软件,意味着它不能在64位操作系统上直接运行,除非在兼容模式下。32位系统通常可以支持的最大内存为4GB,对于大多数小型到中型的Web...
CVE-2018-11759:显示如何利用CVE-2018-11759的概念证明
03-19
概念验证描述特定于Apache Web服务器(httpd)的代码在将请求的路径与Apache Tomcat JK(mod_jk)连接器1.2.0至1.2.44中的URI-worker映射进行匹配之前对其进行了规范化,无法正确处理某些边缘情况。如果仅通过httpd...
httpd-2.4.29-x86-r2.zip
04-05
Apache HTTP Server,简称Apache,是世界上最流行的开源Web服务器软件,其最新版本为httpd-2.4.29。这个32位版本适用于运行在Windows操作系统上的系统环境,为用户提供了一个强大、稳定且灵活的平台来托管静态网页、...
Apache httpd-2.4.54-o111p-x86-vs17.zip 32位
08-24
Apache httpd-2.4.54-o111p-x86-vs17.zip 32位的 Use the links below to download the Apache Portable Runtime from one of our mirrors. You must verify the integrity of the downloaded files using ...
apache httpd 2.4.26 配套用 apr-1.5.2
08-18
APR-1.5.2是与Apache HTTPD 2.4.26相配套的版本,它负责处理诸如文件I/O、网络通信、线程管理、内存分配等低级操作。APR的设计目标是提供跨平台的兼容性,确保在不同操作系统环境下,Apache HTTPD的功能和性能保持...
apache-httpd-2.4的win64编译后版本
04-02
"Apache-httpd-2.4的win64编译后版本"意味着这个压缩包包含了专门为64位Windows系统编译的Apache HTTPD二进制文件。使用Visual Studio 2017(即VC15)进行编译,确保了软件与最新的Windows API和库兼容,同时也提高...
apache-httpd_换行解析漏洞_CVE-2017-15715
acdcccc的博客
09-07 236
Apache httpd 换行解析漏洞复现
负载均衡上传webshell+apache换行解析漏洞
a505964648的博客
02-09 536
我们执行 hostname -i查看当前执行机器的 ip 时,可以看到一直在飘,因为我们用的是轮询的方式,还算能确定,一旦涉及了权重等其它指标,就让你好好体验一波什么叫飘乎不定。是的,这就是你出现一会儿正常,一会儿错误的原因。由于 antSword 上传文件时,采用的分片上传方式,把一个文件分成了多次HTTP请求发送给了目标,所以尴尬的事情来了,两台节点上,各一半,而且这一半到底是怎么组合的,取决于 LBS 算法。我们假定在真实的业务系统上,存在一个 RCE 漏洞,可以让我们获取 WebShell。
Apache两个解析漏洞复现及防御方法
阿道夫的博客
01-28 3491
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
11-4 Apache换行解析漏洞CVE-2017-15715
weixin_43263566的博客
11-25 1063
Apache換行解析漏洞CVE-2017-15715)是一种解析漏洞,可以影响httpd 2.4.0至2.4.29版本中的PHP解析。攻击者可以通过在上传的文件名中添加特定的换行符,绕过服务器的安全策略,使其被解析成PHP文件而不是普通文件。未正确配置的服务器未对文件名进行适当验证的服务器使用正则表达式并启用Multiline属性的服务器攻击者可以将1.php\x0A作为文件名上传到服务器上,这个文件名看起来像是一个普通的非PHP文件,但是由于其中的特定字符,服务器会将其解析为PHP文件。
中间件漏洞合集:Apache HTTPD换行解析漏洞分析
"这篇文档是关于中间件漏洞的合集,涵盖了常见的Web中间件如IIS、Nginx和Apache,特别是重点讨论了Apache HTTPD的换行解析漏洞CVE-2017-15715)。文档中提到了这个漏洞允许攻击者通过特殊构造的文件名绕过服务器的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值