Apache
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kyk watter uitbreidings die Apache bediener uitvoer. Om hulle te soek kan jy uitvoer:
Ook, sommige plekke waar jy hierdie konfigurasie kan vind, is:
Hierdie tipe aanvalle is bekendgestel en gedokumenteer deur Orange in hierdie blogpos en die volgende is 'n opsomming. Die "confusion" aanval misbruik basies hoe die tientalle modules wat saamwerk om 'n Apache te skep, nie perfek gesinkroniseer werk nie en dat sommige van hulle onverwagte data kan verander, kan 'n kwesbaarheid in 'n latere module veroorsaak.
Die mod_rewrite
sal die inhoud van r->filename
na die karakter ?
afsnit (modules/mappers/mod_rewrite.c#L4141). Dit is nie heeltemal verkeerd nie, aangesien die meeste modules r->filename
as 'n URL sal behandel. Maar in ander gevalle sal dit as 'n lêerpad behandel word, wat 'n probleem kan veroorsaak.
Path Truncation
Dit is moontlik om mod_rewrite
te misbruik soos in die volgende reëlvoorbeeld om toegang te verkry tot ander lêers binne die lêerstelsel, deur eenvoudig die laaste deel van die verwagte pad te verwyder en 'n ?
by te voeg:
Misleidende RewriteFlag Toewysing
In die volgende herskrywingsreël, solank die URL eindig op .php, sal dit behandel en uitgevoer word as php. Daarom is dit moontlik om 'n URL te stuur wat eindig op .php na die ?
karakter terwyl 'n ander tipe lêer (soos 'n beeld) met kwaadwillige php-kode daarin gelaai word:
Dit is moontlik om toegang te verkry tot lêers wat die gebruiker nie behoort te kan toegang nie, selfs al behoort die toegang ontken te word met konfigurasies soos:
Dit is omdat PHP-FPM standaard URL's ontvang wat eindig op .php
, soos http://server/admin.php%3Fooo.php
en omdat PHP-FPM alles na die karakter ?
sal verwyder, sal die vorige URL toelaat om /admin.php
te laai selfs al het die vorige reël dit verbied.
A fun fact about Apache is that the previous rewrite will try to access the file from both the documentRoot and from root. So, a request to https://server/abouth.html
will check for the file in /var/www/html/about.html
and /about.html
in the file system. Which basically can be abused to access files in the file system.
Ontsluit CGI Bronkode
Net om 'n %3F aan die einde by te voeg, is genoeg om die bronkode van 'n cgi-module te lek:
Ontbloot PHP Bronnekode
As 'n bediener verskillende domeine het, met een daarvan 'n statiese domein, kan dit misbruik word om die lêerstelsel te traverseer en php kode te lek:
Die hoofprobleem met die vorige aanval is dat by verstek die meeste toegang oor die lêerstelsel ontken sal word soos in Apache HTTP Server se konfigurasiesjabloon:
However, Debian/Ubuntu bedryfstelsels laat standaard /usr/share
toe:
Daarom sou dit moontlik wees om lêers wat binne /usr/share
in hierdie verspreidings geleë is, te misbruik.
Plaaslike Gadget tot Inligtingsontsluiting
Apache HTTP Server met websocketd mag die dump-env.php skrip by /usr/share/doc/websocketd/examples/php/ blootstel, wat sensitiewe omgewing veranderlikes kan lek.
Bedieners met Nginx of Jetty mag sensitiewe webtoepassing inligting (bv. web.xml) blootstel deur hul standaard web wortels wat onder /usr/share geplaas is:
/usr/share/nginx/html/
/usr/share/jetty9/etc/
/usr/share/jetty9/webapps/
Plaaslike Gadget tot XSS
Op Ubuntu Desktop met LibreOffice geïnstalleer, kan die uitbuiting van die hulp lêers se taal skakel funksie lei tot Cross-Site Scripting (XSS). Manipulasie van die URL by /usr/share/libreoffice/help/help.html kan lei na kwaadwillige bladsye of ouer weergawes deur onveilige RewriteRule.
Plaaslike Gadget tot LFI
As PHP of sekere front-end pakkette soos JpGraph of jQuery-jFeed geïnstalleer is, kan hul lêers misbruik word om sensitiewe lêers soos /etc/passwd te lees:
/usr/share/doc/libphp-jpgraph-examples/examples/show-source.php
/usr/share/javascript/jquery-jfeed/proxy.php
/usr/share/moodle/mod/assignment/type/wims/getcsv.php
Plaaslike Gadget tot SSRF
Deur MagpieRSS's magpie_debug.php by /usr/share/php/magpierss/scripts/magpie_debug.php te gebruik, kan 'n SSRF kwesbaarheid maklik geskep word, wat 'n toegangspunt bied tot verdere uitbuitings.
Plaaslike Gadget tot RCE
Geleenthede vir Remote Code Execution (RCE) is wyd, met kwesbare installasies soos 'n verouderde PHPUnit of phpLiteAdmin. Hierdie kan misbruik word om arbitrêre kode uit te voer, wat die uitgebreide potensiaal van plaaslike gadgets manipulasie toon.
Dit is ook moontlik om te jailbreak vanaf die toegelate vouers deur simlinks te volg wat deur geïnstalleerde sagteware in daardie vouers gegenereer is, soos:
Cacti Log: /usr/share/cacti/site/
-> /var/log/cacti/
Solr Data: /usr/share/solr/data/
-> /var/lib/solr/data
Solr Config: /usr/share/solr/conf/
-> /etc/solr/conf/
MediaWiki Config: /usr/share/mediawiki/config/
-> /var/lib/mediawiki/config/
SimpleSAMLphp Config: /usr/share/simplesamlphp/config/
-> /etc/simplesamlphp/
Boonop, deur simlinks te misbruik was dit moontlik om RCE in Redmine te verkry.
Hierdie aanval benut die oorvleueling in funksionaliteit tussen die AddHandler
en AddType
riglyne, wat albei gebruik kan word om PHP verwerking te aktiveer. Oorspronklik het hierdie riglyne verskillende velde beïnvloed (r->handler
en r->content_type
onderskeidelik) in die bediener se interne struktuur. egter, as gevolg van nalatenskapkode, hanteer Apache hierdie riglyne wisselvallig onder sekere omstandighede, wat r->content_type
in r->handler
omskakel as die eerste ingestel is en die laaste nie.
Boonop, in die Apache HTTP Server (server/config.c#L420
), as r->handler
leeg is voordat ap_run_handler()
uitgevoer word, gebruik die bediener r->content_type
as die handler, wat effektief AddType
en AddHandler
identies in effek maak.
In hierdie praatjie, is 'n kwesbaarheid aangebied waar 'n verkeerde Content-Length
wat deur 'n kliënt gestuur is, kan veroorsaak dat Apache per ongeluk die PHP bronskode teruggee. Dit was omdat 'n fout hantering probleem met ModSecurity en die Apache Portable Runtime (APR), waar 'n dubbele antwoord lei tot die oorskryding van r->content_type
na text/html
.
Omdat ModSecurity nie behoorlik terugwaardes hanteer nie, sou dit die PHP kode teruggee en dit nie interpreteer nie.
TODO: Oranje het hierdie kwesbaarheid nog nie bekend gemaak nie
As 'n aanvaller in staat is om die Content-Type
kop in 'n bediener antwoord te beheer, sal hy in staat wees om arbitrêre module handlers aan te roep. egter, teen die tyd dat die aanvaller dit beheer, sal die meeste van die proses van die versoek gedoen wees. egter, dit is moontlik om die versoekproses te herbegin deur die Location
kop te misbruik omdat as die returned Status
200 is en die Location
kop met 'n /
begin, die antwoord as 'n Server-Side Redirection behandel word en verwerk moet word.
Volgens RFC 3875 (spesifikasie oor CGI) in Afdeling 6.2.2 definieer 'n Plaaslike Hernoem Antwoord gedrag:
Die CGI skrip kan 'n URI pad en navraag-string (‘local-pathquery’) vir 'n plaaslike hulpbron in 'n Location kopveld teruggee. Dit dui aan vir die bediener dat dit die versoek moet herverwerk met die pad wat gespesifiseer is.
Daarom, om hierdie aanval uit te voer, is een van die volgende kwesbaarhede nodig:
CRLF Inspuiting in die CGI antwoord koppe
SSRF met volledige beheer van die antwoord koppe
Byvoorbeeld, /server-status
moet slegs plaaslik toeganklik wees:
Dit is moontlik om toegang te verkry deur die Content-Type
op server-status
in te stel en die Location-header wat met /
begin.
Herlei na mod_proxy
om enige protokol op enige URL te benader:
However, the X-Forwarded-For
header is added preventing access to cloud metadata endpoints.
Toegang tot PHP-FPM se lokale Unix Domein Socket om 'n PHP backdoor in /tmp/
uit te voer:
Die amptelike PHP Docker beeld sluit PEAR (Pearcmd.php
) in, 'n opdraglyn PHP-pakketbestuur gereedskap, wat misbruik kan word om RCE te verkry:
Kontroleer Docker PHP LFI Samevatting, geskryf deur Phith0n vir die besonderhede van hierdie tegniek.
Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)