# Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server! - Orange Tsai {%hackmd @HITCON/HkzqEGQsR %} > 從這裡開始 > Apache 比你們各位 30 歲的都要老哦 N+1 Ways to Run PHP Config Directives are Complicated - SerHandler - AddHandler - AddType ..... 語法類似，效果也類似 想要設定經典的 PHP 有兩種方法 > 達成效果不代表安全 - AddHandler application/x-httpd-php.php - AddType application/x-httpd-php.php (有風險的) - 洩漏任意 PHP 的原始碼 ### How to Bypass.. ``` <Files> ``` ### How to Break... ``` RewriteRule "^/html/(.*)" "/$1.html" ``` ### How to Explotit... ```php! use CGI; my $q = CGI -> new; my $redir = $q-> param("redir"); if($redir && $redir =~ m{^http://}){ print "Location: $redir\n" } print "Content-Type: text/html\n\n" ``` - XSS 漏洞 only?A ==XSS -> RCE !== --- ## Why targing Apache? 1. Bad smells in the Apache HTTP Server - Comprise over 100+ modules that have to collaborate together (縫合怪) - All modules share a huge internal structure - They update the structure without rules 130 多個模組且共享參數 內部結構是個拋接球進行傳遞 可能在軟體工程上是很常見的情境 (這是正常使用流程) 但所有模組並沒有使用相同規範 --- ## We are focusing on 1. Interactions between modules - Are they collborating well? 2. Inconsistency between modules - Same understanding of the internal structure? ## Confusion Attacks 9 New Vulnerabilities > 新東西 = 漏洞放題 Patch != Mitigate 新修正一定會有 breaking change 不能無腦直接升 ## #1 Filename Confusion 從字面上 f=filenmae 預計是檔案，但可能當成路徑或是網址來使用 mod_rewrite ```.conf! RewriteRule Pattern Substitution [flags] ``` path or url? both are good 網址跟 Path 都當作網址處理 ```bash! curl .../%3F ``` #### %3F = 問號 透過路徑截斷 (Path truncate) 繞過驗證 Proxy 模組 -> 為了自身需求拼接網址 一個 `?` (%3F) 繞過 ## #2 DocumentRoot Confusion Document Rewrite ``` DocumentRoot /var/www/html RewriteRule ^/html/(.*) /$1.html ``` Rewrite Rules： 兩個都會開 不管相對路徑或絕對路徑 Apache 都會嘗試讀取 Apache Default ACL 可以開 `/usr/share` - 當前綴可控的時候，就可以不受限於 ACL(？) > 官方文檔也是錯的哦 透過DocumentRoot Confusion， /usr/share 漏洞，去洩漏伺服器端的任意程式碼 --- - Websocketd - stup.php%3f - ... 能不能跳出 /usr/share 可。 因為 symbolic 通用，所以進一步通用。 Sample：可以使用兩層跳躍進去繞過 --- ## #3 Header Confusion Apache legacy support r->content_type transformed to #0 ap_invoke_handler #1 ap_process_request_internal Handler 處理前改 content type, Fixer 會介入修正 就會把原本的config被當成純文字文件列出 問題本質在於 r->content_type 並沒有好好指定本質 所以回傳的內容有模糊空間 #### RFC 3875 FOR rescue 6.2.2. Local Redirect Response 當成伺服器端的內部跳轉 就不會透過瀏覽器中執行 如果使用 cgi_handler 跳轉時，arbitrary-location ### CGI 伺服器端轉址 - CRLF Injection - SSRF %0d%0a%0d%0a ---