[Vulhub] Apache HTTPD解析漏洞 & Apache SSI RCE

最新推荐文章于 2024-04-09 12:47:23 发布
最新推荐文章于 2024-04-09 12:47:23 发布
阅读量714 收藏
点赞数
分类专栏: 漏洞复现 文章标签: apache ssi 安全漏洞 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45605352/article/details/117666441
版权

文章目录

Apache HTTPD 换行解析漏洞(CVE-2017-15715)

0x00 漏洞描述

Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。

0x01 影响版本

Apache HTTPD 2.4.0~2.4.29

0x02 靶场环境

Apache HTTPD 2.4.0:https://vulhub.org/#/environments/httpd/CVE-2017-15715/

0x03 漏洞分析

index.php 文件内容:

<?php
if(isset($_FILES['file'])) {
    $name = basename($_POST['name']);
    $ext = pathinfo($name,PATHINFO_EXTENSION);
    if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'])) {
        exit('bad file');
    }
    move_uploaded_file($_FILES['file']['tmp_name'], './' . $name);
}?>
</body>

在默认的Apache的配置里面,判断是否解析为php文件是使用正则来匹配的(php|php4|phtml),而这个\符号不仅仅是可以匹配行尾,还可以匹配一个换行(因此我们上传的带有换行的文件就会被解析,但是 $_FILES['file']['name'] 会默认的将换行给去掉

漏洞分析:https://www.cnblogs.com/Mikasa-Ackerman/p/Apache-jie-xi-lou-dong-fu-xian-CVE201715715-ke-yi-.html

0x04 漏洞复现

访问index.php,上传php文件,被拦截:
在这里插入图片描述
在php后面插入一个\x0A(注意,不能是\x0D\x0A,只能是一个\x0A。其中\x0D\r的16进制,为回车符;\x0A\n的16进制,为换行符),不再拦截:
在这里插入图片描述
访问上传的hacker.php%0A,能够成功解析,但这个文件不是php后缀,说明目标存在解析漏洞:
在这里插入图片描述

Apache HTTPD 多后缀解析漏洞

0x00 漏洞描述

Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件,利用Apache httpd这个特性,就可以绕过上传文件的白名单。

0x01 影响版本

该漏洞和apache版本和php版本无关,属于用户配置不当造成的解析漏洞

0x02 靶场环境

Apache,并附带PHP 7.3环境:https://vulhub.org/#/environments/httpd/apache_parsing_vulnerability/

0x03 漏洞分析

Apache HTTPD 支持一个文件拥有多个后缀,并为不同的后缀执行不同的指令。例如,如下配置文件:

AddType text/html .html
AddLanguage zh-CN .cn

其给.html后缀增加了media-type,是text/html;给.cn后缀了语言,是zh-CN。此时,如果用户请求文件index.cn.html,他将返回一个中文的html页面。

以上就是Apache多后缀的特性。如果运维人员给.php后缀增加了处理器:

AddHandler application/x-httpd-php .php

那么,在有一些后缀的情况下,只要有一个带有.php后缀的文件就会被识别成 PHP,没必要是最后的后缀。利用特性,将造成一个可以绕过上传白名单的解析漏洞。

0x04 漏洞复现

靶场搭建完成后,访问靶场地址,上传文件php文件被拦截:
在这里插入图片描述
index.php中是一个白名单检查文件后缀的上传组件,上传完成后并未重命名。可以我们通过上传文件名为xxx.php.jpgxxx.php.jpeg的文件,利用Apache的解析漏洞进行getshell。
在这里插入图片描述
访问文件地址,成功执行phpinfo():
在这里插入图片描述

Apache SSI 远程命令执行漏洞

0x00 漏洞描述

在测试任意文件上传漏洞的时候,目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持,我们可以上传一个shtml文件,并利用<!--#exec cmd="id" -->语法执行任意命令。

使用SSI(Server Side Include)的html文件扩展名,SSI(Server Side Include),通常称为"服务器端嵌入"或者叫"服务器端包含",是一种类似于ASP的基于服务器的网页制作技术。默认扩展名是 .stm.shtm.shtml

0x01 影响版本

该漏洞和apache版本和php版本无关,属于用户配置不当造成的解析漏洞

0x02 靶场环境

一个支持SSI与CGI的Apache服务器:https://vulhub.org/#/environments/httpd/ssi-rce/

0x03 漏洞分析

SSI(服务器端包含)是​​放置在 HTML 页面中的指令,并在提供页面时在服务器上进行评估。它们使你可以将动态生成的内容添加到现有的 HTML 页面,而无需通过 CGI 程序或其他动态技术提供整个页面。而目标服务器开启了SSI与CGI支持,可以上传一个shtml文件语法执行任意命令。

例如,将指令放入现有的 HTML 页面,例如:<!--#echo var="DATE_LOCAL" -->
当页面被提供时,这个片段将被评估并替换为它的值:Tuesday, 15-Jan-2013 19:28:54 EST

参考文章:
https://httpd.apache.org/docs/2.4/howto/ssi.html
https://www.w3.org/Jigsaw/Doc/User/SSI.html

0x04 漏洞复现

访问upload.php,上传php文件被拦截:
在这里插入图片描述
上传一个.shtml文件,内容为<!--#exec cmd="id" -->
在这里插入图片描述
成功上传,然后访问hacker.shtml,可见命令已成功执行:
在这里插入图片描述

yAnd0n9
关注
专栏目录
apache httpd-2.4.59
04-15
这个版本,"Apache httpd-2.4.59",是该服务器软件的一个更新迭代,旨在提供性能优化、安全增强以及功能扩展。让我们深入探讨这个版本的一些关键特性、功能和改进。 1. **版本升级与兼容性**: Apache httpd-2.4....
vulhub-httpd中ssi-rce
qq_26947429的博客
07-22 668
漏洞原理 在测试任意文件上传漏洞的时候,目标服务端可能不允许上传php后缀的文件。 如果目标服务器开启了SSI与CGI支持,我们可以上传一个后缀为shtml文件 并利用<!--#exec cmd="id" -->语法执行任意命令。 第一步访问没有主页面利用目录扫描工具扫出目录 测试上传文件限制 很显然不能上传.php文件 可已上传一个.shtml文件来执行命令 文件里面是` <!--#exec cmd="whoami" -->` 命令执行成功! 然后开始进行菜刀连接 在1
Apache HTTPD 换行解析漏洞(CVE-2017-15715)
spring!
03-08 4485
Apache HTTPD 换行解析漏洞(CVE-2017-15715)|vulhub
Apache httpd 安全漏洞处理-升级httpd版本
大新新大浩浩的博客
09-14 2743
Apache httpd 安全漏洞处理-升级httpd版本
漏洞复现之 Apache HTTPD 多后缀解析漏洞
白帽子九一
12-25 410
漏洞简介:   Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。比如,如下配置文件: AddType text/html .html AddLanguage zh-CN .cn 其给.html后缀增加了media-type,值为text/html;给.cn后缀增加了语言,值为zh-CN。此时,如果用户请求文件index.cn.html,他将返回一个中文的html页面。 以上就是Apache多后缀的特性。如果运维人员给.php后缀增加了处理器: AddHandler ap
07 - vulhub - Apache SSI 远程命令执行漏洞,音视频时代你还不会NDK开发
最新发布
2303_79055785的博客
04-09 1034
Python崛起并且风靡,因为优点多、应用领域广、被大牛们认可。学习 Python 门槛很低,但它的晋级路线很多,通过它你能进入机器学习、数据挖掘、大数据,CS等更加高级的领域。Python可以做网络应用,可以做科学计算,数据分析,可以做网络爬虫,可以做机器学习、自然语言处理、可以写游戏、可以做桌面应用…Python可以做的很多,你需要学好基础,再选择明确的方向。这里给大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!
Windows版本apache httpd
09-28
在Windows版本的Apache HTTPD中,它保持了与Unix/Linux系统上的核心功能一致性,同时也针对Windows操作系统进行了优化。 标题“Windows版本apache httpd”指的是Apache HTTP Server在Windows操作系统上的实现。这个...
Linux下安装Apache httpd.doc
08-18
- **MPM模式默认程序**:`/usr/sbin/httpd.event`, `/usr/sbin/httpd.worker` - **帮助文件**:通过`rpm -qd httpd`查看 - **日志文件目录**:`/var/log/httpd` - `access_log`:访问日志 - `error_log`:错误日志...
apache httpd2.4.46源码包
01-20
在Linux环境中,从源码编译Apache HTTPD是理解其工作原理、自定义配置和确保与系统组件兼容性的好方法。 首先,Apache HTTPD 2.4系列的一个显著特点是模块化的架构。源码包中包含了许多核心模块,如mod_http(处理...
安装apache httpd软件步骤
01-09
安装apache httpd软件步骤 一、下载httpd-2.4.43.tar.gz软件包 二、进行解压 tar -zxf httpd-2.4.43.tar.gz -C /usr/src -C是指定安装路径,上述命令为将httpd-2.4.43.tar.gz这个压缩包解压到/usr/src里* (因为这里...
PHP HTTPoxy CGI 应用程序漏洞 CVE-2016-5385
qq_42430287的博客
12-21 685
PHP HTTPoxy CGI 应用程序漏洞 CVE-2016-5385
vulhub-httpd-ssi-rce
Ronin_qianmo的博客
07-27 551
1、漏洞描述 在测试任意文件上传漏洞的时候,目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持,我们可以上传一个shtml文件,并利用#exec cmd=“id” 语法执行任意命令。 2、漏洞原理 SSI(服务器端包含)是放置在HTML页面中的指令,并在服务页面时在服务器上对其进行评估。它们使您可以将动态生成的内容添加到现有的HTML页面, 而不必通过CGI程序或其他动态技术来提供整个页面。 其实apache的ssl更像是flask的jinjia2,用来实现和前端实现一种动态交
apache httpd 解析漏洞
07-17 533
漏洞背景:apache通过mod_php来运行脚本,其2.4.0-2.4.29中存在apache换行解析漏洞,在解析php时xxx.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。该漏洞属于用户配置不当产生的漏洞,与具体中间件版本无关。与其说这是漏洞,不如说是apache的特性,就是我们平常所说的从右向左解析是一样的。当apache遇到无法识别解析的文件后缀时,会向前解析,...
修补网络安全漏洞Apache HTTPD中禁用跟踪
wangli的博客
11-18 1777
一、背景介绍       apachehttpd web服务器默认开启了http的trace与track方法,这些方法是存在安全风险的,它们会产生跨站点跟踪问题。HTTP TRACK方法是微软编写的,与TRACE的功能基本相同,除了渗透测试人员,黑客,蠕虫和漏洞扫描程序之外,它从未被使用过。      XSS漏洞是一种低风险漏洞,是全球网络中最常见的漏洞之一。这个问题至少从1990年开始出现...
httpoxy漏洞远程攻击PHP Python应用
weixin_33924220的博客
09-01 254
httpoxy漏洞是一个刚暴露出来的漏洞,它针对 PHP、Go、Python 等语言的 CGI 应用的漏洞。它将apache等组件中用于代理HTTP访问的字段名变换为“HTTP_PROXY”,再传递给对应的CGI来执行。如果CGI或者脚本中对外请求的组件依赖于“HTTP_PROXY”这个环境变量,那就中招了,会导致远程攻击。 HTTP_Proxy...
Httpoxy远程代理感染漏洞 [转]
weixin_30402085的博客
07-19 213
Httpoxy是一个最新曝出的一个CGI程序漏洞,它主要可能威胁到运行在CGI上的PHP,Go,Python和其他代码程序语言。 0×01 什么是httpoxy? 具体来说, httpoxy是一组影响运行在CGI 或者类似CGI环境的漏洞集,它可以理解为简单的命名空间冲突: RFC 3875(CGI)把HTTP 头部的Proxy 字段名变换成环境变量HTTP_PROXY HTTP_...
07 - vulhub - Apache SSI 远程命令执行漏洞,带你碾压面试官
m0_67621628的博客
03-22 674
<!--#echo var="cat /etc/passwd" --> []( )漏洞复现 []( )环境准备 靶机环境 139.196.87.102 (vulhub) 攻击机环境 192.168.8.131 (虚拟机 Ubuntu 20、Java1.8、Burp) 启动 Apache SSI 远程命令执行漏洞 环境 1.进入 vulhubssi-rce 路径 cd /usr/local/tools/vulhub/httpd/ssi-rce 2.编译并启动环境 docker-c
中间件漏洞 | Apache-SSI/任意命令执行
weixin_52116519的博客
11-05 675
Apache SSI 远程命令执行漏洞在测试任意文件上传漏洞的时候,目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持,我们可以上传一个shtml文件,并利用
vulhubapache SSI漏洞
qq_67757718的博客
02-19 125
首先进入vulhub路径,找到ssi-rce目录并进入 使用docker-compose up -d命令启动环境 如果启动失败,可以进入docker-compose.yml查看端口是否被占用,修改一下端口号 启动成功之后使用docker ps查看一下进程是否在进行 成功启动就可以在浏览器中输入本地IP+端口号/upload.php,即可得到这样的界面 先在桌面上创建一个.txt文档,输入<!--#exec cmd="date" --> date可更换,然后将文件后
ActiveMQ与Apache HTTPD安全漏洞深度解析
5. Apache HTTPD未知后缀解析漏洞:攻击者可以利用此漏洞解析非预期的文件扩展,可能导致敏感信息泄露或恶意代码执行。漏洞实例存储在/data/vulhub/httpd/apache_parsing_vulnerability/。 6. Apache SSI远程命令...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值