Apache 漏洞之后缀名解析漏洞
我们都知道windows2003 + IIS6.0下,如果目录结构中有xxx.asp这样的目录,那么所有这个目录下的文件不管扩展名为什么,都会当作asp来解析。我们一般称这个漏洞为 windows2003+iis6.0目录解析漏洞。但是大家可能不知道的是,apache服务器也存在类似的解析漏洞
我们来做下实验,我在本地搭建好了一个apache+php的测试平台
两个文件phpinfo.php phpinfo.php.a ,我们来访问下phpinfo.php.a
http://192.168.99.110/phpinfo.php.a
可以解析,换成其他后缀仍然可以
不管文件最后后缀为什么,只要是.php.*结尾,就会被Apache服务器解析成php文件,问题是 apache如果在mime.types文件里面没有定义的扩展名在诸如x1.x2.x3的情况下,最后一个x3的没有定义,他会给解析成倒数第二个的 x2的定义的扩展名。所以xxx.php.rar或者xxx.php.111这些默认没在mime.types文件定义的都会解析成php的。同样如果是 cgi或者jsp也一样。。。
那么如果涉及到web程序的上传页面,如果上传的文件名是我们可以定义的,那么我们完全可以上传一个xxx.php.jpg这样名字的webshell,apache仍然会当作php来解析,我们再来测试下jpg
防御方法:
apache配置文件,禁止.php.这样的文件执行,配置文件里面加入
<Files ~ “/.(php.|php3.)”>
Order Allow,Deny
Deny from all
</Files>
保存,从起apache以后,我们再来看看
OK,防御方法就是这样
APACHE解析问题造成的上传漏洞
简述漏洞情况:
有的网站有文件上传功能,尤其是可以上传 rar 文件的。如果文件名是 abc.php.rar,而且这个文件被放在了 http://www.leakon.com/uploads/abc.php.rar,你在地址栏输入这个地址,Apache 就会调用 PHP 模块去解析 abc.php.rar。
为什么会解析呢?
因为 Apache 按照文件扩展名,寻找 handler,比如,如果扩展名是 php,就交给 PHP 模块,如果是 jpg,就会输出 image/jpg 类型 的 http 头。
Apache 有一些已知的文件类型,在 Apache 目录的 conf/mime.types 文件中可以查看。
但这里没有 rar 的 handler,这时 Apache 会把 php 当作 abc.php.rar 这个文件的扩展名!
这个可能是 Apache 的一个解析规则吧,反正在 2.2.4 版本测试是这样的。
最简单的测试方法,写一个文件,内容是:
<?php
phpinfo();
?>
保存为 abc.php.rar,然后上传到你的服务器,看能不能执行吧。
前面我也说过,可能这不应该算是漏洞,只是一个规则,如果把这个规则去掉,可能相当大的一部分网站会因此受到影响。不可否认的,也是具有讽刺意味的是:我们的程序能够正常运行,有时是因为它处在一个有“漏洞”的环境中……
避免问题的方法有很多,比如在 mime 文件中加上 rar 类型的定义,再给 rar 文件加个 handler,再限制 upload 目录的执行权限等等。
我觉得比较好的方法是在服务端检查文件扩展名,如果应用程序需要上传 rar 等类型的文件,建议把文件在服务端改名,写成没有扩展名的字母和数字的组合,然后把原始文件名保存在数据库里,当需要下载的时候,用 http 头声明文件名。
单点处理,可以避免很多后续的相互依赖的安全工作。
转载请注明:jinglingshu的博客 » Apache解析漏洞详解