【Web】vulhub-httpd apache解析漏洞复现(1)

①CVE-2017-15715

②apache_parsing_vulnerability

①CVE-2017-15715

贴出源码：

<?php
if(isset($_FILES['file'])) {$name = basename($_POST['name']);$ext = pathinfo($name,PATHINFO_EXTENSION);if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'])) {exit('bad file');}move_uploaded_file($_FILES['file']['tmp_name'], './' . $name);
} else {?><!DOCTYPE html>
<html>
<head><title>Upload</title>
</head>
<body>
<form method="POST" enctype="multipart/form-data"><p><label>file:<input type="file" name="file"></label></p><p><label>filename:<input type="text" name="name" value="evil.php"></label></p><input type="submit">
</form>
</body>
</html><?php
}
?>

意思就是上传文件的后缀不能是php,php3,php4,php5,phtml,pht

我们看一下.htaccess配置文件

<FilesMatch \.php$> SetHandler application/xhttpdphp 
</FilesMatch>

这段代码的作用是告诉 Apache 如何处理以 .php 结尾的请求，确保这些请求能够被正确地解释和执行 PHP 代码，并将结果返回给客户端。

这个$我们很熟悉，在非多行模式下，$会忽略在句尾的%0a。之前就利用%0a换行绕过了preg_match

举个例子

if (preg_match('/^flag$/', $_GET['a']) && $_GET['a'] !== 'flag') {echo $flag;
}

只要传入?a=flag%0a即可

这里也是一样的道理

绕过过滤，写马成功

访问，RCE

②apache_parsing_vulnerability

贴出源码：

<?phpif (!empty($_FILES)):$ext = pathinfo($_FILES['file_upload']['name'], PATHINFO_EXTENSION);
if (!in_array($ext, ['gif', 'png', 'jpg', 'jpeg'])) {die('Unsupported filetype uploaded.');
}$new_name = __DIR__ . '/uploadfiles/' . $_FILES['file_upload']['name'];
if(!move_uploaded_file($_FILES['file_upload']['tmp_name'], $new_name)){die('Error uploading file - check destination is writeable.');
}die('File uploaded successfully: ' . $new_name);else:
?>
<form method="post" enctype="multipart/form-data">File: <input type="file" name="file_upload"><input type="submit">
</form>
<?php
endif;

原理：

apache通过查看mime.types文件来查看是否能够识别上传文件的文件类型。在/etc/mime.types文件中记录了大量的文件后缀和mime类型。Apache文件解析漏洞涉及一个解析文件的特性：Apache默认一个文件可以有多个以点分隔的后缀，当右边的后缀无法识别（不在mime.types内），则继续向左识别。

如果在Apache 的配置文件里有这样一行配置