vlambda博客
学习文章列表

技术干货 | Apache的.htaccess利用技巧


加入安世加 交流群 和大佬们一起交流安全技术


0x1简介

0x1.1基本概念

.htaccess 文件提供了针对目录改变配置的方法, 即在一个特定的文档目录中放置一个包含一条或多条指令的文件, 以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache 的 AllowOverride 指令来设置。
.htaccess 中有 # 单行注释符, 且支持 \拼接上下两行。

0x1.2作用范围

.htaccess 文件中的配置指令作用于 .htaccess 文件所在的目录及其所有子目录,但是很重要的、需要注意的是,其上级目录也可能会有 .htaccess 文件,而指令是按查找顺序依次生效的,所以一个特定目录下的 .htaccess 文件中的指令可能会覆盖其上级目录中的 .htaccess 文件中的指令,即子目录中的指令会覆盖父目录或者主配置文件中的指令。

0x1.3配置文件

启动 .htaccess,需要在服务器的主配置文件将 AllowOverride 设置为 All,如 apache2.conf

也可以将 .htaccess 修改为其他名

技术干货 | Apache的.htaccess利用技巧


0x2常见指令

.htaccess 可以实现网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。如需了解详细功能可看这篇文章http://www.htaccess-guide.com/ , 这里就不一一介绍,主要讲解几种常利用的指令。

0x2.1SetHandler

SetHandler 可以强制所有匹配的文件被一个指定的处理器处理
用法:

技术干货 | Apache的.htaccess利用技巧

示例1:

技术干货 | Apache的.htaccess利用技巧

此时当前目录及其子目录下所有文件都会被当做 php 解析

示例2:

技术干货 | Apache的.htaccess利用技巧

apache的服务器状态信息(默认关闭),可以查看所有访问本站的记录

技术干货 | Apache的.htaccess利用技巧

访问任意不存在的文件,加参数 ?refresh=5 来实现每隔 5s 自动刷新

0x2.2 AddHandler

AddHandler 可以在文件扩展名与特定的处理器之间建立映射
用法:

技术干货 | Apache的.htaccess利用技巧

例如:

技术干货 | Apache的.htaccess利用技巧

将扩展名为 .xxx 的文件作为 CGI 脚本来处理

0x2.3AddType

AddType 可以将给定的文件扩展名映射到指定的内容类型
用法:

技术干货 | Apache的.htaccess利用技巧

示例:

技术干货 | Apache的.htaccess利用技巧

将以 gif 为后缀的文件当做 php 解析

技术干货 | Apache的.htaccess利用技巧

将以 .png .jpg .gif 多个后缀当做 php 解析

0x2.4php_value

当使用 PHP 作为 Apache 模块时,也可以用 Apache 的配置文件(例如 httpd.conf)和 .htaccess文件中的指令来修改 php 的配置设定。需要有AllowOverride Options AllowOverride All 权限才可以。

php_value 设定指定的值。要清除先前设定的值,把 value 设为 none。不要用 php_value 设定布尔值。应该用 php_flag

用法:

技术干货 | Apache的.htaccess利用技巧

查看配置可被设定范围

技术干货 | Apache的.htaccess利用技巧

由上可知 .htaccess 只能用于 PHP_INI_ALL 或 PHP_INI_PERDIR 类型的指令。
查看php.ini 配置选项列表,寻找可利用指令

(1) 文件包含配置选项

技术干货 | Apache的.htaccess利用技巧
  • auto_prepend_file:在主文件解析之前自动解析包含的文件

  • auto_append_file:在主文件解析后自动解析包含的文件

例如:

技术干货 | Apache的.htaccess利用技巧

访问一个 php 文件时,在该文件解析之前会先自动解析 images.png 文件

(2) 绕过preg_match

技术干货 | Apache的.htaccess利用技巧

例如:

技术干货 | Apache的.htaccess利用技巧

设置正则回朔次数来使正则匹配的结果返回为 false 而不是0 ,从而可以绕过正则。

0x2.5php_flag

php_flag 用来设定布尔值的 php 配置指令
用法:

技术干货 | Apache的.htaccess利用技巧

查看php.ini 配置选项列表,寻找可利用指令

技术干货 | Apache的.htaccess利用技巧

可以将 engine 设置为 0,在本目录和子目录中关闭 php 解析,造成源码泄露

技术干货 | Apache的.htaccess利用技巧


0x3利用方式

0x3.1文件解析

经常出现在文件上传的黑名单没有限制 .htaceess 后缀,通过上传 .htaccess 文件,再上传图片,使图片的 php 恶意代码得以被解析执行

.htaccess 文件内容有如下两种

1.SetHandler 指令

技术干货 | Apache的.htaccess利用技巧
技术干货 | Apache的.htaccess利用技巧

2.AddType

技术干货 | Apache的.htaccess利用技巧

0x3.2文件包含

0x3.2.1本地文件包含

通过 php_value 来设置 auto_prepend_file或者 auto_append_file 配置选项包含一些敏感文件, 同时在本目录或子目录中需要有可解析的 php 文件来触发。

.htaccess 分别通过这两个配置选项来包含 /etc/passwd,并访问同目录下的 index.php文件。

auto_prepend_file

技术干货 | Apache的.htaccess利用技巧
技术干货 | Apache的.htaccess利用技巧

auto_append_file

技术干货 | Apache的.htaccess利用技巧
技术干货 | Apache的.htaccess利用技巧

0x3.2.2远程文件包含

PHP 的 all_url_include 配置选项这个选项默认是关闭的,如果开启的话就可以远程包含。因为 all_url_include 的配置范围为 PHP_INI_SYSTEM,所以无法利用 php_flag 在 .htaccess 中开启。

技术干货 | Apache的.htaccess利用技巧

这里为了演示,就在 php.ini 中设置 all_url_include  On

技术干货 | Apache的.htaccess利用技巧
技术干货 | Apache的.htaccess利用技巧

0x3.3源码泄露

利用 php_flag 将 engine 设置为 0,在本目录和子目录中关闭 php 解析,造成源码泄露

技术干货 | Apache的.htaccess利用技巧

这里在谷歌浏览器访问会显示源码,用其他浏览器访问会显示空白,还需查看源码,才可看到泄露的源码

技术干货 | Apache的.htaccess利用技巧

0x3.4代码执行

1.利用伪协议
all_url_fopen、all_url_include 为 On

技术干货 | Apache的.htaccess利用技巧
技术干货 | Apache的.htaccess利用技巧

2.解析.htaccess
方法一:

技术干货 | Apache的.htaccess利用技巧
技术干货 | Apache的.htaccess利用技巧

方法二:
这种适合同目录或子目录没有 php 文件。
需要先设置允许可访问 .htaccess 文件

技术干货 | Apache的.htaccess利用技巧

将 .htaccess指定当做 php文件处理

技术干货 | Apache的.htaccess利用技巧
技术干货 | Apache的.htaccess利用技巧

0x3.5命令执行

0x3.5.1CGI启动

cgi_module 需要加载,即 apache 配置文件中有

技术干货 | Apache的.htaccess利用技巧

.htaccess内容

技术干货 | Apache的.htaccess利用技巧

ce.xx

技术干货 | Apache的.htaccess利用技巧
技术干货 | Apache的.htaccess利用技巧

例题可看 De1CTF2020 check in

0x3.5.2FastCGI启动

mod_fcgid.so需要被加载。即 apache 配置文件中有

技术干货 | Apache的.htaccess利用技巧

.htaccess

技术干货 | Apache的.htaccess利用技巧

ce.xx 内容随意

技术干货 | Apache的.htaccess利用技巧

0x3.6XSS

0x3.6.1 highlight_file

.htaccess

技术干货 | Apache的.htaccess利用技巧

其中的 highlight.comment 也可以换成如下其他选项

技术干货 | Apache的.htaccess利用技巧

index.php

技术干货 | Apache的.htaccess利用技巧
技术干货 | Apache的.htaccess利用技巧

0x3.6.2错误消息链接

index.php :

技术干货 | Apache的.htaccess利用技巧

.htaccess

技术干货 | Apache的.htaccess利用技巧
技术干货 | Apache的.htaccess利用技巧

0x3.7自定义错误文件

error.php

技术干货 | Apache的.htaccess利用技巧

.htaccess

技术干货 | Apache的.htaccess利用技巧

访问 error.php,会报错并记录在 shell.php 文件中

因为会经过 html 编码,所以需要 UTF-7 来绕过。

.htaccess

例题可看X-NUCA-ezphp


0x4参考链接

https://www.anquanke.com/post/id/205098
https://www.cnblogs.com/Wanghaoran-s1mple/p/13152075.html
http://httpd.apache.org/docs/2.4/
https://github.com/sektioneins/pcc/wiki/PHP-htaccess-injection-cheat-sheet
https://www.freebuf.com/vuls/218495.html