這一個漏洞在 packetstorm 被發表,我把它翻成中文,加上自己的一些註解,希望對在 NT 上執行
PHP 的朋友有一些協助。
當你下載 PHP 後,在它內含的安裝檔案中協助了 PHP 在 NT + Apache Web Server 的安裝方式
,其中的安裝協助會要你將底下這幾行設定加到 apache 的 httpd.conf 設定檔案中,而這個安裝文
件將導引你將你的系統門戶大開。
這幾行命令為:
ScriptAlias /php/ "c:/php/"
AddType application/x-httpd-php .php
Action application/x-httpd-php "/php/php.exe"
我們進一步的解釋這三行設定,這些設定命令要求 Apache 將 /php/ 這個虛擬目錄直接映射到 c:/php/
目錄下,所以當你使用:
"http://www.example.com/php/"
連結網頁的時候,實際上 Web Server 是直接存取到 c:/php/ 這個目錄,這時候你會看到 "Access Denied"
的錯誤資訊,但是當你改用:
"http://www.example.com/php/php.exe"
命令來串連的時候,你會探索服務器回送了 "No input file specified." 這行字,這行字是由 php.exe
所進行的回送,表示你剛剛在這台 server 上執行了 php 執行檔案。
如果你的伺服器是使用 php 裡所教你的安裝方法來作設定的,這時候你可能有了以下的危機。
[** 漏洞 1 **]
我們可以利用這個漏洞來讀取這台伺服器上的任何一個檔案,甚至可以跨磁碟讀取,只要使用下列方式串連:
"http://www.example.com/php/php.exe?c:\winnt\repair\sam"
PHP 會將檔案 "c:\winnt\repair\sam" 丟給瀏覽器,並把它顯示出來,而這個檔案正是 Windows NT
儲存密碼的所在,
"http://www.example.com/php/php.exe?d:\winnt\repair\sam"
PHP 會把在 D: 磁碟中相同的檔案傳出。
而有了這個 SAM 檔案,駭客可以用以破解出你在這台機器上所設定的密碼。
[** 漏洞 2 **]
如果你指定了在 php 目錄下的檔案,你的 Web 服務器會嘗試執行這個檔案,並且傳會錯誤資訊,所以當你
使用了:
"http://www.example.com/php/php4ts.dll"
這個錯誤會導致 Web Server 傳回 "couldn<|>t create child process: 22693: C:/php/php4ts.dll"
這個資訊,因而漏了你安裝 PHP 的真實目錄
PS. 經過我的測試,第二個漏洞在 PHP V4.11 上執行時將回傳回 "Internal Server Error" 的錯誤,
並不回漏目錄結構,但是在 PHP V4.11 中,第一個漏洞仍然有效。
簡易解決法∶使用較長且不易判定之虛擬目錄來放置 PHP 執行檔案,例如∶
ScriptAlias /php-mY-sCrIpT/ "c:/php411/"
AddType application/x-httpd-php .php
Action application/x-httpd-php "/php-mY-sCrIpT/php.exe"
這樣入侵者將不易得知 PHP 的存放目錄,而降低了被入侵的機會。
在更改過 httpd.conf 後記得要將 Apache Service 重新啟動∶
NET STOP APACHE
NET START APACHE
[END]