Web安全实践（9）攻击apache

核心提示： 漏洞很明显，可以自定义comment的文件名，Web安全实践（9）攻击apache(4)，如果你自定义的filename为".php",那么程序就会在图片根目录下生成一个".php.comment"的文件，由于Apache的漏洞,该程序被当做php文

漏洞很明显，可以自定义comment的文件名，如果你自定义的filename为".php",那么程序就会在

图片根目录下生成一个".php.comment"的文件，由于Apache的漏洞,该程序被当做php文件解析，webshell就到手了，

写了个利用程序如下:

提交后就会在图片根目录下生成一个含一句话木马的文件".php.comment"

php.comment?cmd=phpinfo" target="_blank">http://localhost/mg2/pictures/.php.comment?cmd=phpinfo();"

9.3分块(chunked)编码远程溢出漏洞　　

这是在02年左右出现的一个漏洞，但是现在看来该漏洞仍然存在并危害着很多网站。

Apache在处理以分块(chunked)方式传输数据的HTTP请求时存在设计漏洞，远程攻击者可能利用此漏洞在某些Apache服务器上以Web服务器进程的权限执行任意指令或进行拒绝服务攻击。

分块编码(chunkedencoding)传输方式是HTTP1.1协议中定义的Web用户向服务器提交数据的一种方法，当服务器收到 chunked编码方式的数据时会分配一个缓冲区存放之，如果提交的数据大小未知，客户端会以一个协商好的分块大小向服务器提交数据。

Apache服务器缺省也提供了对分块编码(chunkedencoding)支持。Apache使用了一个有符号变量储存分块长度，同时分配 了一个固定大小的堆栈缓冲区来储存分块数据。出于安全考虑，在将分块数据拷贝到缓冲区之前，Apache会对分块长度进行检查，如果分块长度大于缓冲区长 度，Apache将最多只拷贝缓冲区长度的数据，否则，则根据分块长度进行数据拷贝。然而在进行上述检查时，没有将分块长度转换为无符号型进行比较，因 此，如果攻击者将分块长度设置成一个负值，就会绕过上述安全检查，Apache会将一个超长(至少>0x80000000字节)的分块数据拷贝到缓 冲区中，这会造成一个缓冲区溢出。