很多次聽到人說apache的“解析漏洞”了,正好今天又有人問,那就簡單科普一下這個“解析漏洞”是何物。
先來看測試過程和結果的對比吧。
結果一
首先,我安裝了apache 2.x版本,同時以module方式使apache與php結合,測試發現確實存在這樣的解析漏洞。
結果二
然后,我將apache與php的結合方式修改為fastcgi方式,測試發現爆500錯誤,不存在這樣的解析漏洞。
錯誤提示:
1Bad file descriptor: mod_fcgid: don't know how to spawn child process: f4ck.php.x
意思就是不知道該如何解析這個文件。
結果出來了,那么對於影響范圍這塊,在目前所有的apache版本中均存在此問題,但只適用於以module方式解析php的apache,使用fastcgi方式解析php的apache不受影響,使用cgi方式解析php的apache是否影響未測試。
下面來簡單分享一下測試過程中我發現的一點經驗。
先來看一下apache的主配置文件httpd.conf,搜索“DefaultType”,就可以看到這么一段注釋和默認配置:
# # DefaultType: the default MIME type the server will use for a document # if it cannot otherwise determine one, such as from filename extensions. # If your server contains mostly text or HTML documents, "text/plain" is # a good value. If most of your content is binary, such as applications # or images, you may want to use "application/octet-stream" instead to # keep browsers from trying to display binary files as though they are # text. #10DefaultType text/plain
DefaultType存在的意義是告訴apache該如何處理未知擴展名的文件,比如f4ck.xxx這樣的文件,擴展名是xxx,這肯定不是一個正常的網頁或腳本文件,這個參數就是告訴apache該怎么處理這種未知擴展名的文件。
參數DefaultType的默認值是“text/plain”,也就是遇到未知擴展名的文件,就把它當作普通的txt文本或html文件來處理。
測試一
比如我將以下代碼保存為f4ck.xxx:
1F4ckTeam apache test
訪問它,按照默認的apache配置,這個文件是會被瀏覽器顯示出來具體效果的:
這是對於文件內容為HTML代碼的未知擴展名文件來說,文件中的HTML代碼會被瀏覽器執行。
測試二
那么,對於文件內容為php代碼的未知擴展名文件來說,這些php代碼會被解析嗎?
來看測試結果:
可以看到,這里包含php代碼的未知擴展名的文件被當作txt文檔處理了。
但是,如果將文件名改為f4ck.php.xxx,那么就會被以module方式運行php的apache解析,為什么?
因為Apache認為一個文件可以擁有多個擴展名,哪怕沒有文件名,也可以擁有多個擴展名。Apache認為應該從右到左開始判斷解析方法的。如果最右側的擴展名為不可識別的,就繼續往左判斷,直到判斷到文件名為止。
官方解釋見:http://httpd.apache.org/docs/current/mod/directive-dict.html,搜索“extension”即可看到。
摘錄官方解釋:
extension
In general, this is the part of the filename which follows the last dot. However, Apache recognizes multiple filename extensions, so if a filename contains more than one dot, each dot-separated part of the filename following the first dot is an extension. For example, the filename file.html.en contains two extensions: .html and .en. For Apache directives, you may specify extensions with or without the leading dot. In addition, extensions are not case sensitive.
那么,對於“測試一”和“測試二”來說,apache發現這個文件的擴展名是未知的,那么它會先看在擴展名之前是否有其他的可識別的擴展名,但是該 案例中的完整文件名為“f4ck.xxxx”,在擴展名“xxxx”之前沒有其他的可識別擴展名了,所以apache就按照httpd.conf中參數 DefaultType的值來決定該文件的處理方式,即作為txt文檔處理。
同樣的,對於“結果一”和“結果二”來說,也是按照這樣的方式來逐步確定未知擴展名文件的解析方式,首先apache發現這個文件的擴展名是未知 的,那么它會先看在擴展名之前是否有其他的可識別的擴展名,在該案例中的完整文件名為“f4ck.php.x”,那么apache就發現在未知擴展名 “x”之前有一個可識別的擴展名是“php”,那么apache就會認為這是一個php文件,就會把這個文件按照解析php文件的方式來解析。
說到這里,就不得不提一下,apache對於擴展名的定義都是寫在conf/mime.types文件中的,看一下圖:
文件mime.types定義了apache處理不同擴展名文件的方法,文件httpd.conf中參數DefaultType的值定義了apache處理未知擴展名文件的方法。
另外,文件httpd.conf中語句塊“”中可以用“AddType”語句來定義apache解析不同擴展名文件的方法。
處理和解析是完全不同的概念,這就好像對於apache+php結合的網站來說,apache是應用服務器,php是中間件,apache只負責接 收/響應HTTP請求,php卻負責.php文件的解釋執行。Php將.php文件解釋執行完畢后,將生成的HTML代碼發送給apache,再由 apache將HTML代碼發送給客戶端。
另外說一下,擴展名rar並沒有在文件mime.types中出現,所以如果遇到可以上傳rar文件且與php的結合方式為module方式的apache,則可以直接上傳類似“f4ck.php.rar”的文件來獲得webshell。
解決方案一
在httpd.conf或httpd-vhosts.conf中加入以下語句,從而禁止文件名格式為*.php.*的訪問權限:
<FilesMatch ".(php.|php3.|php4.|php5.)"> Order Deny,Allow Deny from all </FilesMatch>
解決方案二
如果需要保留文件名,可以修改程序源代碼,替換上傳文件名中的“.”為“_”:
$filename = str_replace('.', '_', $filename);
如果不需要保留文件名,可以修改程序源代碼,將上傳文件名重命名為時間戳+隨機數的格式。
總結:網上說的“低版本的apache存在未知擴展名解析漏洞”的說法是錯誤的,正確的說法應該是使用module模式與php結合的所有版本 apache存在未知擴展名解析漏洞,使用fastcig模式與php結合的所有版本apache不存在此漏洞。並且,想利用此漏洞必須保證文件擴展名中 至少帶有一個“.php”,否則將默認被作為txt/html文檔處理。