漏洞简介

pache HTTPD是一款HTTP服务器，它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞，在解析PHP时，1.php\x0A将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。

漏洞环境

vulhub/httpd/CVE-2017-15715

Vulhub - Docker-Compose file for vulnerability environment

漏洞复现

进入vulhub项目对应的目录：cd vulhub-master/httpd/CVE-2017-15715

编译容器：“docker-compose build”

启动Docker容器，输入命令：“docker-compose up -d”。

查看容器状态，输入命令：“docker ps”并查看对应容器ID。

进入容器，输入命令：“docker exec -it 容器id /bin/bash”。

该漏洞属于用户配置不当所产生的，看一下配置文件信息，输入命令“cat /etc/apache2/conf-available/docker-php.conf”，如图所示。

前三行的内容意思是将所有以“.php”为后缀的文件内容当作PHP代码进行解析，但是却使用了“$”进行文件匹配，这就导致了漏洞的产生。这个符号在正则表达式中是匹配字符串中结尾的位置，若存在换行则匹配换行符为结尾，也就是说可以利用换行符使“$”与其匹配从而绕过黑名单机制实现文件上传。

如果在黑名单的后缀不让上传php jsp等，就可以通过php%0a绕过黑名单，但是需要保证这个后缀是能够正常解析的脚本代码。如果是白名单可能不行（在白名单里面才可以上传jpj，png，gif 等），但是如果没有考虑以最后一个点为后缀，通过1.jpg.php%0a的形式也可能能够绕过。

查看index.php内容，代码如下：

<?php

if(isset($_FILES['file'])) {

$name = basename($_POST['name']);

$ext = pathinfo($name,PATHINFO_EXTENSION);

if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'])) {

exit('bad file');

}

move_uploaded_file($_FILES['file']['tmp_name'], './' . $name);

}

可以看到除了上传文件外，还要以POST请求方式传入参数name，其值作为文件上传后最后的名字，同时设置了黑名单过滤name值传递的带有黑名单信息的后缀。如果通过 $FILES["file"]获 取文件名的话，会把\x0a自动去除，所以 $FILES["file"]这种方式获取文件名也不会造成这个漏洞.

启动后Apache运行在http://your-ip:8080

创建一个文件，写入<?php phpinfo();?> 

上传文件可以看到是上传失败

通过burp抓包把在实际上传文件名后加0a,也就是filename的值加上0a

我用的burp是2021版本，没有hex选项，可以通过选择单个字符修改

老版本可以通过hex修改，修改完，文件正常上传。

访问http://your-ip:8080/test.php%0A，可以看到PHP代码已经被解析，如图所示。