转载自:https://www.leavesongs.com/PENETRATION/apache-cve-2017-15715-vulnerability.html
目标环境:
比如,目标存在一个上传的逻辑:
<?php if(isset($_FILES['file'])) { $name = basename($_POST['name']); $ext = pathinfo($name,PATHINFO_EXTENSION); if(in_array($ext, ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'])) { exit('bad file'); } move_uploaded_file($_FILES['file']['tmp_name'], './' . $name); }
可见,这里用到了黑名单,如果发现后缀在黑名单中,则进行拦截。
然后,我们用docker启动一个默认的Apache PHP(Apache版本在2.4.0到2.4.29即可):
docker run -d -p 8080:80 --name apache php:5.5-apache
将上述代码放置在容器内的/var/www/html
目录下,设置好写权限,即可进行测试。
绕过黑名单getshell
正常上传php文件,被拦截:
可以上传1.php.xxx,但是不解析,说明老的Apache解析漏洞不存在:
我们利用CVE-2017-15715,上传一个包含换行符的文件。注意,只能是x0A
,不能是x0Dx0A
,所以我们用hex功能在1.php后面添加一个x0A
:
然后访问/1.php%0A
,即可发现已经成功getshell: