漏洞分析
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
在Apache httpd 2.4.0至2.4.29中,在<FilesMatch>中指定的表达式可以将“ $”与恶意文件名中的换行符匹配,而不是仅匹配文件名的末尾。
表示配置匹配后缀名文件的防盗链,而这个解析漏洞根本原因就是$ 这个符号,这个符号在正则表达式中是匹配字符串中结尾的位置,也就死说可以利用换行符使$ 与其匹配从而绕过黑名单机制实现文件上传,验证逻辑又是先会对上传的文件正则匹配验证后缀名是否包含了php,因为解析漏洞的存在,这里不会过滤php%0a,后续的黑名单机制也就如同摆设了
1.根据解析特性,使$与换行符x0a匹配从而绕过黑名单机制进而上传。
在1.php后面添加空格,然后再hex中将20修改为0a
2.在1.php后面插入一个\x0A(注意,不能是\x0D\x0A,只能是一个\x0A),绕过拦截。
3.post传参的木马没有复现成功,尝试get请求的木马可以复现出来。
4.但是post传参的木马可以用菜刀连接:http://101.34.51.79:30001/1.php%0a