目录
漏洞简介
Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。比如,如下配置文件:
AddType text/html .html
AddLanguage zh-CN .cn
以上就是Apache多后缀的特性。如果运维人员给.php后缀增加了处理器:
AddHandler application/x-httpd-php .php
那么,在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。
漏洞环境
vulhub-master\httpd\apache_parsing_vulnerability
Vulhub - Docker-Compose file for vulnerability environment
漏洞复现
进入vulhub项目对应的目录:cd vulhub-master\httpd\apache_parsing_vulnerability
编译容器:"docker-compose build"
启动Docker容器,输入命令:"docker-compose up -d"。
查看容器状态,输入命令:"docker ps"并查看对应容器ID。
进入容器,输入命令:"docker exec -it 容器id /bin/bash"。
构造代码文件命名为aaa.php.jpg
php
<?php pnpinfo()?>上传文件
访问http://your-ip/uploadfiles/aaa.php.jpeg即可发现,phpinfo被执行了,该文件被解析为php脚本。
http://your-ip/index.php中是一个白名单检查文件后缀的上传组件,上传完成后并未重命名。我们可以通过上传文件名为xxx.php.jpg或xxx.php.jpeg的文件,利用Apache解析漏洞进行getshell。如果这个文件保存的文件名是基于时间或者其他命令格式的话,把1.php.jpg命名成2022......655.jpg的话,那么这个漏洞就没有用。
漏洞防御
1、使用SetHandler,写好正则
<FileMatch ".+\.php$">
SetHandler application/x-httpd-php
</FileMatch>
2、禁止.php这样的文件执行
<FileMatch ".+\.ph(p[3457]?|t|tml)\.">
Require all denied
</FileMatch>