-
-
Notifications
You must be signed in to change notification settings - Fork 4.3k
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
关于【Apache HTTPD 未知后缀解析漏洞】的配置与实际漏洞场景有偏差问题 #93
Comments
确实不能称为“未知后缀解析漏洞”,因为这个漏洞环境不管是何种后缀,都会被解析。(只要没有设置其他的Handler) 说明一下Apache的解析方式。你说的这个例子涉及两个指令:
前者设置一个后缀的mime-type,后者设置一个后缀的处理器。 就你举得这个例子而言, 我们引用文档中一段原文来解释在多个后缀下如何处理:
所以这个环境本身是没有问题的,就是标题不太准确。 |
实际环境中的“未知后缀解析漏洞”,可能是另一种漏洞。我暂时没找到复现环境,期待你能提供相关的测试站点或配置文件。 |
phpstudy官方集成环境的这个版本就存在apache的解析漏洞,下载地址: 我也在制作实际环境中的“未知后缀解析漏洞”的docker镜像,无奈上网并没有提起具体如何配置才导致漏洞。明天看下表哥提供的资料,下一步准备研究下apache的配置,有进展再来交流。 |
好的,明天搭建一下试试。 |
后续相关讨论,可以继续在这个issue中进行。 |
ok |
各位表哥,后续呢 |
此贴终结 哈哈 |
表哥,后续呢 |
经过测试,认为和真实漏洞环境有些偏差,觉得apache配置文件有问题。具体说明如下:
都知道apache的解析漏洞依赖于一个特性: Apache默认一个文件可以有多个以点分割的后缀,当最右边的后缀无法识别(不在mime.types文件内),则继续向左识别,直到识别到合法后缀才进行解析。
而这个特性源于apache的配置。
也就是说如果分别访问存在漏洞的环境下的
a.php.jpg
和a.php.xxx
。那么a.php.jpg
会被识别为按照jpg图片进行解析,而a.php.xxx
才会被当成php脚本进行解析。看了下vulhub下的Apache HTTPD 未知后缀解析漏洞的配置如下:
经过测试问题来了,
a.php.jpg
和a.php.xxx
都被当成php
脚本进行解析了。这显然不太符合实际环境中Apache HTTPD 未知后缀解析漏洞的中间件特性。The text was updated successfully, but these errors were encountered: