利用最新Apache解析漏洞(CVE-2017-15715)绕过上传黑名单

最新推荐文章于 2025-05-27 19:46:17 发布
最新推荐文章于 2025-05-27 19:46:17 发布
阅读量893 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: php 运维
原文链接:http://www.cnblogs.com/nul1/p/8719238.html

转载自:https://www.leavesongs.com/PENETRATION/apache-cve-2017-15715-vulnerability.html

目标环境

比如,目标存在一个上传的逻辑:

<?php
if(isset($_FILES['file'])) {
    $name = basename($_POST['name']);
    $ext = pathinfo($name,PATHINFO_EXTENSION);
    if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'])) {
        exit('bad file');
    }
    move_uploaded_file($_FILES['file']['tmp_name'], './' . $name);
}

可见,这里用到了黑名单,如果发现后缀在黑名单中,则进行拦截。

然后,我们用docker启动一个默认的Apache PHP(Apache版本在2.4.0到2.4.29即可):

docker run -d -p 8080:80 --name apache php:5.5-apache

将上述代码放置在容器内的/var/www/html目录下,设置好写权限,即可进行测试。

绕过黑名单getshell

正常上传php文件,被拦截:

可以上传1.php.xxx,但是不解析,说明老的Apache解析漏洞不存在:

我们利用CVE-2017-15715,上传一个包含换行符的文件。注意,只能是\x0A,不能是\x0D\x0A,所以我们用hex功能在1.php后面添加一个\x0A

然后访问/1.php%0A,即可发现已经成功getshell:

 

转载于:https://www.cnblogs.com/nul1/p/8719238.html

11-4 Apache换行解析漏洞CVE-2017-15715
weixin_43263566的博客
11-25 1238
Apache換行解析漏洞CVE-2017-15715)是一种解析漏洞,可以影响httpd 2.4.02.4.29版本中的PHP解析。攻击者可以通过在上传的文件名中添加特定的换行符,绕过服务器的安全策略,使其被解析PHP文件而不是普通文件。未正确配置的服务器未对文件名进行适当验证的服务器使用正则表达式并启用Multiline属性的服务器攻击者可以将1.php\x0A作为文件名上传到服务器上,这个文件名看起来像是一个普通的非PHP文件,但是由于其中的特定字符,服务器会将其解析PHP文件。
Apache httpd 换行解析漏洞(CVE-2017-15715)
qq_44887839的博客
07-14 678
文章目录Apache httpd 换行解析漏洞(CVE-2017-15715)漏洞复现漏洞原理漏洞分析Apache配置FilesMatch访问控制 Apache httpd 换行解析漏洞(CVE-2017-15715) 影响版本: 2.4.0~2.4.29 漏洞复现 进入docker容器/vulhub-master/httpd/CVE-2017-15715的目录下 cd进入漏洞目录,自动化编译环境 docker-compose build 启动整个环境 sudo docker-compose up -
[中间件漏洞]apache漏洞复现
紫洋的博客
05-25 1540
2.4.0~2.4.29版本中存在 一个解析漏洞,在解析PHP时,1.php\x0a将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。Apache默认一个文件可以有多个以点分割的后缀,当最右边的后缀无法识别,则继续向左识别,直到识别到合法后缀才进行解析。最后一个后缀名为.jpg,合法,因为文件名info.php.jpg中包含.php,所以解析php文件。在有多个后缀的情况下,只要包含.php后缀的文件就会被识别出php文件进行解析,不需要是最后一个后缀。先创建文件,文件内容为phpinfo。
php黑名单绕过,利用最新Apache解析漏洞CVE-2017-15715绕过上传黑名单
weixin_28681379的博客
03-11 287
我在代码审计知识星球里提到了Apache最新的一个解析漏洞(CVE-2017-15715):除了帖子中说到的利用方法,我们还可以利用这个漏洞绕过上传黑名单限制。目标环境比如,目标存在一个上传的逻辑:if(isset($_FILES['file'])) {$name = basename($_POST['name']);$ext = pathinfo($name,PATHINFO_EXTENSIO...
CVE-2017-12629-RCE源码分析与漏洞复现
spinage的博客
05-27 620
Apache Solr远程代码执行漏洞(CVE-2017-12629)分析及复现 摘要:本文分析了Apache Solr(CVE-2017-12629)高危远程代码执行漏洞。该漏洞影响Apache Solr <7.1.0版本,CVSS评分9.8。漏洞利用Solr的Config API动态添加恶意监听器,通过RunExecutableListener类执行任意系统命令,攻击者可完全控制服务器。文章详细解析漏洞成因、关键源码(Runtime.getRuntime().exec调用),并提供了基于Vulhub环
Apache安全漏洞
qq_43665434的博客
05-10 6253
Apache安全漏洞 1、Apache中间件介绍 Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。 简单来说就是一个好用的,并且能支持基础的HTML、PHP、Perl、Python等语言。很强 常见目录: bin ------------- 存放常用的命令工具。例如httpd cgi-bin -------
apache 文件上传 (CVE-2017-15715)漏洞复现
热门推荐
YouthBelief的博客
11-10 1万+
@[TOC](apache 文件上传 (CVE-2017-15715)) apache 文件上传 (CVE-2017-15715) 0x01 漏洞描述 Apache(音译为阿帕奇)是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。 此漏洞的出现是由于 apache 在修复第一个后缀名解析漏洞时,用正则来匹配后缀。在解析 php 时 xxx.php\x0A 将被按照 php 后缀进行解析,导致绕过一些服务器的安全
CVE-2017-7659(Apache漏洞)
Fly_鹏程万里
04-25 4278
近日,apache在其网站发布了最新的安全公告,其中涉及多个漏洞。针对CVE-2017-7659漏洞的介绍是这样的:A maliciously constructedHTTP/2 request could cause mod_http2 to dereference a NULL pointer and crashthe server process.可以看到这是apache WEB服务器(ht...
Apache HTTPD 换行解析漏洞CVE-2017-15715
weixin_45534587的博客
01-05 1568
如果是白名单可能不行(在白名单里面才可以上传jpj,png,gif 等),但是如果没有考虑以最后一个点为后缀,通过1.jpg.php%0a的形式也可能能够绕过。前三行的内容意思是将所有以“.php”为后缀的文件内容当作PHP代码进行解析,但是却使用了“$”进行文件匹配,这就导致了漏洞的产生。该漏洞属于用户配置不当所产生的,看一下配置文件信息,输入命令“cat /etc/apache2/conf-available/docker-php.conf”,如图所示。老版本可以通过hex修改,修改完,文件正常上传
Apache Httpd换行解析漏洞复现(CVE-2017-15715
qq_34853514的博客
07-19 921
漏洞简介 漏洞编号: CVE-2017-15715 漏洞详情: Apache httpd是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0a将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。 漏洞影响范围: Apache httpd 2.4.0~2.4.29 漏洞原理: 在httpd2.4.0~2.4.29版本中有如下配置 <FilesMatch \.php$> SetHandler
Apache漏洞合集
2301_77315080的博客
10-19 622
shtml跟html类似,也是一种用于网页设计的标记型语言,区别在于:html是一种纯静态的标记型语言,在html文档里面写的内容是什么,用户打开浏览器看到的就是什么,而shtml是一种半静态半动态的标记型语言,在shtml里面可以包含SSI命令,当用户在浏览器浏览shtml文档的时候,里面包含的SSI命令会被解析,然后再呈现内容给用户。3.后缀名为.jpg,因为文件名inf.php.jpg中包含.php,所以解析php文件,点的HEX值为2e,2e换成0a发送,0a是换行。4.访问页面解析成功。
Apache HTTP Server从2.4.25升级到2.4.33工作记录
weixin_30312563的博客
06-22 1614
1 背景 1.1 环境 1.2 历史情况 最早已经部署了一版Apache2.22.2.15),目的应该是做外网到内网的映射,配置应该是临时安排我来做的(以前没有相关经验)。后续又做了一次升级(原因已经记不清了),升级到目前的2.4.25。 1.3 升级到2.4.33的原因 为了解决以下漏洞...
web服务器/中间件漏洞系列4:apache漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
11-30 5954
apache 简介: Apache 是世界使用排名第一的Web 服务器软件。它可以运行在几乎所有广泛使用的 计算机平台上,由于其 跨平台 和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将 Perl/ Python等 解释器编译到服务器中。 一、多后缀名解析漏洞 复现环境: docker : vulhub/httpd/apache_parsing_vulnerability 1、漏洞简介 漏洞成因: Apache文件解析漏洞与用户的配置有密切的关系,严格来说属.
Apache 漏洞复现(vulhub)
huangdingyu6的博客
03-12 1267
在有多个后缀的情况下,只要一个文件含有后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。在测试任意文件上传漏洞的时候,目标服务端可能不允许上传php后缀的文件。SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。要匹配 $ 字符本身,请使用 $。从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意命令。
文件包含漏洞2
qq_61714717的博客
12-17 352
文件包含
DC6靶场渗透流程(超详细)
m0_64583632的博客
04-10 1426
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。
Apache2.4.23--解析漏洞
willow_liang的博客
10-21 5752
复现环境: Apache文件解析漏洞与用户的配置有密切关系,严格来说属于用户配置问题。Apache文件解析漏洞涉及到一个解析文件的特性。Apache默认- -个文件可以有多个以点分隔的后缀,当右边的后缀无法识别,则继续向左识别,发现后缀是;php,交给php处理这个文件。 如下图中的shell.php.001。最后的001后缀无法识别,就向左进行识别,发现Php,就会解析成为php文件 漏洞修复: 在httpd.conf或httpd-vhosts.conf中加入以下语句,从而禁止文件名格式为*.php
CVE-2019-8933 dedecms文件上传
最新发布
07-12
DedeCMS 是国内较为流行的网站内容管理系统之一,但其在安全性方面曾暴露出多个漏洞CVE-2019-8933 是 DedeCMS 的一个严重文件上传漏洞,攻击者可利用漏洞上传任意格式的文件(包括可执行脚本),从而可能导致服务器被远程控制。 ### 漏洞成因分析 该漏洞主要存在于 DedeCMS 后台的文件上传功能中,具体出现在 `/dede/media_add.php` 或相关媒体上传模块中[^1]。由于系统对上传文件的类型校验不严格,攻击者可通过构造特定的请求绕过文件类型限制,上传包含恶意代码的脚本文件(如 `.php` 文件)。 关键问题点包括: - **MIME 类型校验缺失或可伪造**:部分版本未正确验证上传文件的 MIME 类型。 - **文件名处理逻辑缺陷**:未正确过滤特殊字符或双扩展名,例如 `image.php.jpg` 可能被误认为合法图片。 - **白名单机制不完善**:某些配置下使用黑名单而非白名单方式校验文件类型,容易被绕过。 ### 漏洞影响范围 受影响的版本主要包括 DedeCMS 5.7 SP2 及其之前的版本。若未及时更新补丁,部署于公网的站点将面临较高风险[^1]。 ### 利用方式与危害 攻击者通过上传恶意 PHP 脚本,可在服务器上执行任意命令,进而实现数据窃取、网站篡改、挂马传播等行为。此类攻击通常通过以下步骤完成: 1. 登录后台(可通过其他漏洞获取管理员权限); 2. 使用上传接口上传恶意文件; 3. 访问上传的文件以触发代码执行。 ### 修复方法与缓解措施 #### 1. 官方补丁升级 最直接且推荐的方式是升级至官方发布的安全版本。DedeCMS 在后续版本中加强了文件上传的安全校验机制,并优化了文件名解析逻辑。 #### 2. 手动修补核心文件 对于无法立即升级的系统,可以手动修改相关文件以增强安全性。以 `media_add.php` 为例,需加强对上传文件类型的判断逻辑: ```php // 修改前可能存在如下宽松的判断 if(preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[a-zA-Z0-9]{1,5}$#i', $filename)) // 修改后建议采用白名单机制 $whitelist = array('jpg','jpeg','png','gif','bmp','swf'); $ext = strtolower(pathinfo($filename, PATHINFO_EXTENSION)); if(!in_array($ext, $whitelist)) { ShowMsg("禁止上传非法文件类型!", "-1"); exit(); } ``` 此外,还需检查并加固以下文件中的上传逻辑: - `/dede/upload.php` - `/include/dialog/select_images.php` - `/include/upload.class.php` #### 3. 配置服务器限制 在 Web 服务器层面增加防护策略,例如 Apache 或 Nginx 中设置上传目录的脚本执行限制: ##### Apache 示例: ```apache <Directory "/path/to/uploads"> php_flag engine off </Directory> ``` ##### Nginx 示例: ```nginx location ~ ^/uploads/.*\.(php|php5)$ { deny all; } ``` #### 4. 权限最小化原则 - 确保上传目录无执行权限; - 使用独立域名或子路径存放上传文件; - 定期扫描上传目录是否存在可疑文件。 ### 安全建议 - 定期更新系统及插件,关注官方安全公告; - 对所有上传操作实施严格的白名单控制; - 启用 WAF(Web 应用防火墙)进行实时攻击检测与拦截; - 加强后台访问控制,启用二次认证机制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值