Apache渗透测试合集

Apache的简介

Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将 Perl/Python等解释器编译到服务器中

这边我用phpstudy进行安装

Apache的原理

一次完整的WEB请求流程

1619658355135

从request开始,到response结束

是一次Apache和PHP配合的一次WEB请求,Apache在前,PHP在后

Apache本身是不支持PHP解析的,是通过SAPI进行通信,那 Apache如何和SAP通信呢?Apache怎么知道什么类型的文件要解析为PHP?

  1. #加载php5_module模块
  2. LoadModule php5_module php5apache2_2.dll的路径
  3. #添加可以执行php的文件类型,让.php文件类型解析为PHP
  4. AddType application/x-httpd-php.php
  5. #或者将 AddType变为下面的(在 Apache2.4.0~2.4.29中默认使用了该方式)
  6. <FiLesMatch \.php$>
  7. SetHandler application/x-httpd-php
  8. </FiLesMatch>
  9. 以及
  10. <IfModule dir_module
  11. DirectoryIndex index.html index.html index.php index.phtml
  12. </IfModule>

Apache通过 LoadModule来加载php5_module模块( php5apache2_2.dll)

这样做的目的是让Apache加载php5_module模块来解析PHP文件。

意思其实就是用 LoadModule来加载php5_module。也就是把php作为 Apache的一个子模块来运行。当通过Web访问php文件时,Apache就会调用php5_module来解析php代码

调用过程概况

  1. HTTP->Apahce->php5_module->sapi->php

Apache的目录结构

在这里插入图片描述

  1. bin------------存放常用的命令工具,例如httpd
  2. cgi-bin--------存放 Linux下常用的命令,例如xxx.sh
  3. conf-----------Linux的配置相关文件,例如httpd..conf
  4. error----------错误记录
  5. htdocs---------放网站源码
  6. icons----------网站图标
  7. logs-----------日志
  8. manual---------手册
  9. modules--------扩展模块

Apche对文件名扩展名的定义

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

它是不可以解析php的!!!

Apache的解析漏洞(CVE-2017-15715)

搞一张图片 搞一个未知的扩展名

1619672095365

然后我们访问一下

1619672108239

1619672124599

在这里插入图片描述

在这里插入图片描述

这里它不是apache解析的php文件

是php解析的

继续提升版本

1619672990629

要安装一个这个vc11-86

1619672532589

php常见运行方式有 apache的模块模式(分为mod_php和mod_cgi)cgi模式fast-cgi模式

  1. 1.使用 module模式与php结合的所有版本 apache存在未知扩展名解析漏洞
  2. 2.使用 fastcgi模式与php结合的所有版本 apache不存在此漏洞。
  3. 3.并且,想利用此漏洞必须保证文件扩展名中至少带有一个`.php`,否则将默认被作为`txt/html`文档处理

然后访问一下 可以看到是fast-cgi模式

1619672975811

我们访问phpinfo.php.xxx 会报500的错误

1619673074233

kali操作

kali是自带apache的

1619673403380

进行配置一下就可以了

开启apache服务

  1. /etc/init.d/apache2 start

访问一下 成功开启

1619673442975

php的版本

1619673481010

kali下apache默认的网站根目录:

  1. /var/www/html

写一个phpinfo的2.php文件

1619673943395

访问一下

1619673974508

深入解析一下

去这个目录下

  1. /etc/apache2/mods-enabled

1619674158602

我们打开分析一下

1619674267163

  1. <FilesMatch ".+\.ph(ar|p|tml)$">

以 pharphp, phtml 结尾的文件会被 apache当做php解析

apache解析漏洞的根本原因就是这个$

1619674389982

当我们把$ 换成\.

1619674469735

搞一个2.php.xxx

1619674542411

重启一下apache服务

  1. service apache2 restart

访问一下 成功解析了

1619674629300

总结利用条件

  1. 1.使用 module模式,且正则符合条件2.文件扩展名中至少带有一个.php

Apache HTTPD换行解析漏洞

漏洞原理

上传一个后缀末尾包含换行符的文件,来绕过 FilesMatch。

绕过 FilesMatch不一定能被PHP解析这个漏洞可以用来绕过文件上传黑名单限制

举例:

  1. a001.php\x0a-->a001.php

该漏洞属于用户配置不当

影响版本

apache :2.4.0~2.4.29版本

漏洞复现

Kail的Apache的版本不符合

我这边上Ubuntu进行复现

1619159698311

Ubuntu安装docker命令

  1. sudo apt-get update sudo apt install curl curl -s https://get.docker.com/ | sh sudo apt install python curl https://bootstrap.pypa.io/pip/2.7/get-pip.py --output get-pip.py sudo python get-pip.py pip install docker-compose sudo apt install docker-compose docker-compose -v docker -v sudo service docker start 启动docker

1619160628787

安装完成 那么 开始安装vulhub

  1. sudo apt install gitgit clone https://github.com/vulhub/vulhub.git

开启环境

  1. cd vulhub/httpd/CVE-2017-15715/ sudo docker-compose build sudo docker-compose up -d docker ps

访问

  1. http://192.168.175.179:8080/

1619161996927

部署成功了

开始上传

直接上传phpinfo.php 是失败的

1619162125671

1619162134440

抓包进行修改

1619162223821

1619162269859

加入一个点

1619162289190

修改后发送到重放器

去看看Hex

1619162863417

1619163076557

.的Hex—>2e

1619163098345

改成0a 成功上传

然后我们进行访问

  1. http://192.168.175.179:8080/phpinfo.php%0a

1619163257210

成功上传并解析

分析原因

1619163418256

后台是通过黑名单方式过滤了php后缀的文件,根据最开始的知识,什么样的文件算是php文件呢?在有定义,这句话的意思是以php结尾的文件都算php文件,在正则中表示匹配输入字符串的结尾位置。如果设置了 RegExp对象的 Multiline属性,则也匹配\n\r
恰好,我们在文件末尾加了0x0a(n),所以被匹配成功了。

0x0a和0x0d

  1. 1.0x0d \r CR这三者代表是回车,是同一个东西,回车的作用只是移动光标至该行的起始位置2.0x0a \n CL这三者代表换行,是同一个东西,换行至下一行行首起始位置;

修复建议

1.升级到最新版本
2.或将上传的文件重命名为为时间戳+随机数+.jpg的格式并禁用上传文件目录执行脚本权限

4、Apache SsI远程命令执行漏洞

影响版本

Apache全版本(支持SS与cG)

漏洞危害

绕过服务器策略,上传 webshell

漏洞原理

ssi:是放置在HTML页面中的指令,它可以将动态生成的内容添加到现有的HTML页面,而不必通过CGI程序或其他动态技术来提供整个页面。以上是定义采用在 Apache官网对SS的定义

简单来讲,就是ssi可以在HTML中加入特定的指令,也可以引入其他的页面。

开启ssi需要单独配置 Apache,可以参考ssi配置

  1. https://httpd.apache.org/docs/2.4/howto/ssi.html

总结呢,就是:ssi.html也可以执行命令

创建a001.shtml 写入如下命令 进行上传

包含ssi指令的文件

  1. <pre><!--#exec cmd="whoami" --></pre>

漏洞复现

同样是用vulhub进行启动

  1. sudo docker-compose up -d

访问一下

1619164572259

写入ssi指令的文件

  1. <pre><!--#exec cmd="whoami" --></pre>

文件名保存为a001.shtml,这个后缀取决于 Apache的配置,默认是此后缀

1619164582678

访问一下

1619164655934

这里的思路 比如上传webshell 或者拿反弹shell都是可以的

文章转载于:https://www.freebuf.com/articles/web/271745.html

版权声明:
作者:jianxin
链接:http://usg0v.com/?p=71
来源:剑心哥哥Blogs
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>