Apache
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Sprawdź, które rozszerzenia są uruchamiane przez serwer Apache. Aby je wyszukać, możesz wykonać:
Również niektóre miejsca, w których możesz znaleźć tę konfigurację, to:
Te typy ataków zostały wprowadzone i udokumentowane przez Orange w tym wpisie na blogu, a poniżej znajduje się podsumowanie. Atak "konfuzji" zasadniczo wykorzystuje to, jak dziesiątki modułów współpracujących w Apache nie działają idealnie zsynchronizowane, co sprawia, że modyfikacja nieoczekiwanych danych przez niektóre z nich może spowodować lukę w późniejszym module.
mod_rewrite
obetnie zawartość r->filename
po znaku ?
(modules/mappers/mod_rewrite.c#L4141). To nie jest całkowicie błędne, ponieważ większość modułów traktuje r->filename
jako URL. Jednak w innych przypadkach będzie to traktowane jako ścieżka do pliku, co może spowodować problem.
Skracanie ścieżki
Można wykorzystać mod_rewrite
jak w poniższym przykładzie reguły, aby uzyskać dostęp do innych plików w systemie plików, usuwając ostatnią część oczekiwanej ścieżki, dodając po prostu ?
:
Wprowadzenie w błąd przypisania RewriteFlag
W poniższej regule przepisywania, dopóki URL kończy się na .php, będzie traktowany i wykonywany jako php. Dlatego możliwe jest wysłanie URL, który kończy się na .php po znaku ?
, podczas gdy w ścieżce ładowany jest inny typ pliku (jak obraz) z złośliwym kodem php w środku:
Możliwe jest uzyskanie dostępu do plików, do których użytkownik nie powinien mieć dostępu, nawet jeśli dostęp powinien być zabroniony w przypadku konfiguracji takich jak:
To dlatego, że domyślnie PHP-FPM odbierze adresy URL kończące się na .php
, takie jak http://server/admin.php%3Fooo.php
, a ponieważ PHP-FPM usunie wszystko po znaku ?
, poprzedni adres URL pozwoli na załadowanie /admin.php
, nawet jeśli poprzednia reguła tego zabraniała.
Fajny fakt dotyczący Apache polega na tym, że poprzednie przepisywanie spróbuje uzyskać dostęp do pliku zarówno z documentRoot, jak i z root. Tak więc, żądanie do https://server/abouth.html
sprawdzi plik w /var/www/html/about.html
oraz /about.html
w systemie plików. Co zasadniczo może być nadużywane do uzyskania dostępu do plików w systemie plików.
Ujawnij kod źródłowy CGI
Wystarczy dodać %3F na końcu, aby ujawnić kod źródłowy modułu cgi:
Ujawnienie kodu źródłowego PHP
Jeśli serwer ma różne domeny, z jedną z nich będącą domeną statyczną, można to wykorzystać do przeszukiwania systemu plików i ujawnienia kodu php:
Głównym problemem poprzedniego ataku jest to, że domyślnie większość dostępu do systemu plików będzie zablokowana, jak w szablonie konfiguracji serwera Apache HTTP.
Jednak systemy operacyjne Debian/Ubuntu domyślnie pozwalają na /usr/share
:
Zatem możliwe byłoby nadużycie plików znajdujących się w /usr/share
w tych dystrybucjach.
Lokalny Gadget do ujawnienia informacji
Apache HTTP Server z websocketd może ujawniać skrypt dump-env.php w /usr/share/doc/websocketd/examples/php/, co może prowadzić do ujawnienia wrażliwych zmiennych środowiskowych.
Serwery z Nginx lub Jetty mogą ujawniać wrażliwe informacje o aplikacjach webowych (np. web.xml) poprzez swoje domyślne katalogi webowe umieszczone w /usr/share:
/usr/share/nginx/html/
/usr/share/jetty9/etc/
/usr/share/jetty9/webapps/
Lokalny Gadget do XSS
Na Ubuntu Desktop z zainstalowanym LibreOffice, wykorzystanie funkcji zmiany języka w plikach pomocy może prowadzić do Cross-Site Scripting (XSS). Manipulowanie URL w /usr/share/libreoffice/help/help.html może przekierować na złośliwe strony lub starsze wersje poprzez niebezpieczne RewriteRule.
Lokalny Gadget do LFI
Jeśli zainstalowane są PHP lub niektóre pakiety front-endowe, takie jak JpGraph lub jQuery-jFeed, ich pliki mogą być wykorzystywane do odczytu wrażliwych plików, takich jak /etc/passwd:
/usr/share/doc/libphp-jpgraph-examples/examples/show-source.php
/usr/share/javascript/jquery-jfeed/proxy.php
/usr/share/moodle/mod/assignment/type/wims/getcsv.php
Lokalny Gadget do SSRF
Wykorzystując magpie_debug.php z MagpieRSS w /usr/share/php/magpierss/scripts/magpie_debug.php, można łatwo stworzyć lukę SSRF, co zapewnia bramę do dalszych exploitów.
Lokalny Gadget do RCE
Możliwości Remote Code Execution (RCE) są ogromne, z podatnymi instalacjami, takimi jak przestarzały PHPUnit lub phpLiteAdmin. Mogą być one wykorzystywane do wykonywania dowolnego kodu, co pokazuje ogromny potencjał manipulacji lokalnymi gadżetami.
Możliwe jest również uzyskanie jailbreaka z dozwolonych folderów, podążając za symlinkami generowanymi przez zainstalowane oprogramowanie w tych folderach, takich jak:
Cacti Log: /usr/share/cacti/site/
-> /var/log/cacti/
Solr Data: /usr/share/solr/data/
-> /var/lib/solr/data
Solr Config: /usr/share/solr/conf/
-> /etc/solr/conf/
MediaWiki Config: /usr/share/mediawiki/config/
-> /var/lib/mediawiki/config/
SimpleSAMLphp Config: /usr/share/simplesamlphp/config/
-> /etc/simplesamlphp/
Ponadto, nadużywając symlinków, możliwe było uzyskanie RCE w Redmine.
Ten atak wykorzystuje nakładanie się funkcji między dyrektywami AddHandler
i AddType
, które mogą być używane do włączania przetwarzania PHP. Początkowo te dyrektywy wpływały na różne pola (r->handler
i r->content_type
odpowiednio) w wewnętrznej strukturze serwera. Jednak z powodu kodu dziedziczonego, Apache obsługuje te dyrektywy zamiennie w określonych warunkach, przekształcając r->content_type
w r->handler
, jeśli ten pierwszy jest ustawiony, a drugi nie.
Ponadto, w Apache HTTP Server (server/config.c#L420
), jeśli r->handler
jest pusty przed wykonaniem ap_run_handler()
, serwer używa r->content_type
jako handlera, co skutkuje tym, że AddType
i AddHandler
są identyczne w skutkach.
W tej prezentacji przedstawiono lukę, w której niepoprawny Content-Length
wysłany przez klienta może spowodować, że Apache błędnie zwróci kod źródłowy PHP. Było to spowodowane problemem z obsługą błędów w ModSecurity i Apache Portable Runtime (APR), gdzie podwójna odpowiedź prowadzi do nadpisania r->content_type
na text/html
.
Ponieważ ModSecurity nie obsługuje poprawnie wartości zwracanych, zwracałby kod PHP i nie interpretowałby go.
TODO: Orange jeszcze nie ujawnili tej luki
Jeśli atakujący jest w stanie kontrolować nagłówek Content-Type
w odpowiedzi serwera, będzie mógł wywołać dowolne handlera modułów. Jednak w momencie, gdy atakujący kontroluje to, większość procesu żądania będzie już zakończona. Możliwe jest jednak ponowne uruchomienie procesu żądania, nadużywając nagłówka Location
, ponieważ jeśli returned Status
to 200, a nagłówek Location
zaczyna się od /
, odpowiedź jest traktowana jako przekierowanie po stronie serwera i powinna być przetworzona.
Zgodnie z RFC 3875 (specyfikacja dotycząca CGI) w Sekcji 6.2.2 definiuje zachowanie lokalnej odpowiedzi przekierowującej:
Skrypt CGI może zwrócić ścieżkę URI i ciąg zapytania (‘local-pathquery’) dla lokalnego zasobu w polu nagłówka Location. To wskazuje serwerowi, że powinien ponownie przetworzyć żądanie, używając określonej ścieżki.
Zatem, aby przeprowadzić ten atak, potrzebna jest jedna z następujących luk:
Wstrzyknięcie CRLF w nagłówkach odpowiedzi CGI
SSRF z pełną kontrolą nad nagłówkami odpowiedzi
Na przykład /server-status
powinien być dostępny tylko lokalnie:
Możliwe jest uzyskanie dostępu, ustawiając Content-Type
na server-status
i nagłówek Location zaczynający się od /
Przekierowanie do mod_proxy
, aby uzyskać dostęp do dowolnego protokołu na dowolnym URL:
Jednak nagłówek X-Forwarded-For
jest dodawany, co uniemożliwia dostęp do punktów końcowych metadanych w chmurze.
Uzyskaj dostęp do lokalnego gniazda domeny Unix PHP-FPM, aby wykonać backdoora PHP znajdującego się w /tmp/
:
Oficjalny obraz PHP Docker zawiera PEAR (Pearcmd.php
), narzędzie do zarządzania pakietami PHP w wierszu poleceń, które można wykorzystać do uzyskania RCE:
Sprawdź Docker PHP LFI Summary, napisany przez Phith0n dla szczegółów tej techniki.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)