PHP是用C语言编写的,MySQL则是用C++编写的,而Apache则大部分是使用C语言编写的,少部分是使用C++编写的。所以,文件解析漏洞的本质还是需要我们挖掘C语言、C++的漏洞。
文件解析漏洞是指中间件(IIS、Apache、Nginx等)在解析文件时出现了漏洞,从而攻击者可以利用该漏洞实现非法文件的解析。需要注意的是文件解析漏洞与文件上传漏洞是两码事,文件解析漏洞是基于文件上传之后的。
比如Apache中间件是C语言与C++混合编写成的,当Apache中间件出现了解析漏洞,无论我们PHP代码层面如何安全,都没办法抵挡攻击者的攻击,因为现在的漏洞已经与PHP代码层无关,已经是底层的安全问题了。
文件解析漏洞就是因为Apache中间件的C语言或者C++的编程出现了漏洞,导致攻击者可以利用该漏洞解析非法文件。所以,底层安全比任何安全都要重要,至少我们从现在起,要开始重视底层安全。
接下来,我们介绍Apache解析PHP文件的原理。
当Apache(httpd.exe)运行之后,开始监听Web浏览器发送的请求,拦截请求,简单处理之后再将该请求告知PHP代码解析器(CGI、FAST-CGI或者Apache Module)解析特定的PHP文件。PHP代码解析器解析文件完成之后,返回HTML页面给Apache,Apache再将HTML页面响应到Web浏览器,就这样循环。在Apache解析正常PHP文件的时候,当然是没有大问题的。但是,当出现畸形文件的时候,Apache又该如何处理呢?其实,在httpd.conf文件中,有个设置DefaultType text/plain,这个设置告诉我们Apache在遇到无法识别的文件时,它会做出怎么样的反应。例如DefaultType text/plain,在这样的设置前提下,当Apache遇到无法识别的文件时,就会将这些无法识别的文件通通作为文本文件来解析。在此,无法识别是什么意思呢?原来在Apache的conf目录下面有个mime.types文件(Linux在etc/mime.types),这个文件的内容就是Apache预定义的一些可以正常解析的文件。例如图片的Content-type与其文件的对应关系如下。
image/jpeg:对应jpeg、jpg、jpe文件。
image/gif:对应gif文件。
image/png:对应png文件。
image/ief:对应ief文件。
image/g3fax:对应g3文件。
当Apache遇到正常文件却无法解析的时候,可以在这里面手动添加解析类型。比如,想下载一个Word文件,但是,Apache却把Word文件以rar文件的形式返回。这种情况,就是因为Apache没有在mime.types文件(或是httpd.conf文件)中识别到Word文件。那么,它只能通过分析该文件的本身内容,认为它是一个压缩文件,最后,Apache返回一个压缩文件。至于是什么格式的压缩文件,只有Apache才知道。此时,如果我们要Apache能正常识别Word文件,就需要在mime.types文件中加上以下三句代码:
application/vnd.MSword.document.macroEnabled.12 docm
application/vnd.openxmlformats-officedocument.wordprocessingml.document docx
application/vnd.openxmlformats-officedocument.wordprocessingml.template dotx
这样,Apache就可以正常返回Word文件了。其实也可以在http.conf文件中设置文件解析类型,使用Apache的AddType 指令设置,代码如下。
AddType application/vnd.MSword.document.macroEnabled.12 docm
AddType applic ation/vnd.ope nxml f o rmat s-o f ficedo cume nt.wordprocessingml.document docx
AddType applic ation/vnd.ope nxml f o rmat s-o f ficedo cume nt.wordprocessingml.template dotx
建议不要去修改mime.types文件,添加文件解析类型时推荐使用Apache的AddType指令。因此,对于在mime.types文件或者httpd.conf文件中都无法识别的文件解析类型,Apache就会默认按照DefaultType text/plain这个字段给出的值来解析这个无法识别的文件。也许在使用这个值之前,还有一段解析验证,比如下载Word文件而返回rar文件。有兴趣的可以研究下Apache的代码,研究下我们的文件解析漏洞究竟是发生在Apache框架代码的哪个分支上?
某站文件存在解析漏洞,攻击者可在IIS 服务器中的C:\inetpub\wwwroot目录下建立一个名为aa.asp的文件夹,如图1所示。
图1 建立可执行目录
接下来,攻击者在本地新建aa.jpg文件并向其中写入ASP一句话木马代码。然后,攻击者将已写入ASP一句话木马代码的aa.jpg图片木马文件上传至aa.asp文件夹。最后,攻击者使用中国菜刀连接aa.asp文件夹下刚才上传的aa.jpg图片木马文件,即可获得webshell,如图2所示。
图2 获取webshell