源URL:http://foreversong.cn/archives/789

偶然下载了今年ISC大会360应急响应中心的一个ppt,在最后有个攻防领域专家注册考试目录,其中有很大一块就是中间件的安全,包括Apache、IIS、Tomcat、Weblogic等等,后面我会针对这些中间件,并且借着上面的考试要求进行一个安全配置的讲解。(自己之前也很少接触这块,因此只能算一个学习记录了。。)

Apache方面的考核内容:

1.Apache服务器权限配置

2.Apache服务器文件解析漏洞

3.Apache服务器日志文件审计方法

4.Apache服务器WEB目录权限的配置

下面我将针对上面几个要求,进行一个实例讲演!

问题1:Apache服务器权限配置

这里的权限配置指的就是在访问Apache服务器时限制哪些ip,允许哪些ip来访问。

配置文件在Apache\conf目录下的httpd.conf文件中

 
1
2
3
4
5
6
7
8
DocumentRoot  "C:\phpmystudy\WWW"
<Directory/>
    Options+Indexes+FollowSymLinks+ExecCGI
    AllowOverride All
    Order allow,deny
    Allow from all
    Require all granted
</Directory>

这里是初始状态,最重要的就是Order allow,deny下面的配置,可以看到我们这里的配置为Allow from all,因此允许任何人来访问我们的web服务器,但是我们修改成只允许10.10开头的ip访问,修改如下

 
1
2
Order allow,deny
Allow from10.10

我们可以看到我们访问服务器时就会出现访问禁止,实现了权限的配置。

 
1
2
    Order allow,deny
    Allow from192.168

如果想让内网实现访问,这里只允许内网网段的ip访问

但是实际上,这里没有添加127.0.0.1网段的,会导致我们的web主机登录不上web服务

下面作一个演示,我们只想让web主机登录,其他主机都登陆不上

 
1
2
3
    Order allow,deny
    Allow from127.0
    Deny from all

这里只有127.0.0.1的主机能访问,其余主机均登录不上,Apache服务器权限配置就告一段落。。

问题2:Apache服务器文件解析漏洞

这个应该很老套了,就是一个解析漏洞。

Apache对于文件名的解析是从后往前解析的,直到遇见一个它认识的文件类型为止。因此,如果web目录下存在以类似webshell.php.test这样格式命名的文件,Apache在解析时因为不认识.test这个文件类型,所以会一直往前解析,当解析到.php时,它认识了,因此会将它解析为PHP文件。

实际上我在复现的时候没有成功利用,原因很简单,目前这个解析漏洞只适用于以module方式解析php的apache,使用fastcgi方式解析php的apache不受影响。而我测试使用的phpmystudy正是使用的fastcgi方式。

防御方法:

apache配置文件,禁止.php.这样的文件执行,配置文件里面加入

<Files ~ “\.(php.|php3.)”>

Order Allow,Deny

Deny from all

</Files>

问题3:Apache服务器日志文件审计方法

这里主要有两个log文件,一个是access.log,一个是error.log,这是在windows环境下,其实一开始由于配置问题,没有开启access.log,配置同样是在Apache\conf目录下的httpd.conf文件中

 
1
2
3
##CustomLog "logs/access.log" common
...
#CustomLog "logs/access.log" combined

将前面的注释符删去即可~

然后就会生成access.log

 
1
2
::1--[07/Nov/2017:15:23:55+0800]"GET / HTTP/1.1"200369
::1--[07/Nov/2017:15:23:55+0800]"GET / HTTP/1.1"200369"-""Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0"

这里给出一张截图,是我网站服务器的Apache日志

一般情况下,我们都会写一个自定义的脚本来审计日志文件或者说下载市面上拥有成熟技术的日志审计软件。假如这是一台linux服务器,日志文件中出现了/etc/passwd的字样,就可以在一定程度上说明有人已经可以访问你的密钥文件,也就反映了你的网站可能已经被人攻破了,或者说出现了大量的sql注入语句,这些黑客行为都可以帮助你来审计一个网站的安全性。

而error.log则是记录了服务器运行时的出错情况

 
1
2
3
4
5
[Tue Nov0715:23:33.5418252017][mpm_winnt:notice][pid3232:tid636]AH00455:Apache/2.4.23(Win32)OpenSSL/1.0.2jPHP/5.4.45configured--resuming normal operations
[Tue Nov0715:23:33.5428262017][mpm_winnt:notice][pid3232:tid636]AH00456:Server built:Jul  1201616:42:20
[Tue Nov0715:23:33.5428262017][core:notice][pid3232:tid636]AH00094:Command line:'D:\\Server\\phpstudy\\Apache\\bin\\httpd.exe -d D:/Server/phpstudy/Apache'
[Tue Nov0715:23:33.5488282017][mpm_winnt:notice][pid3232:tid636]AH00418:Parent:Created childprocess8984
[Tue Nov0715:23:35.4574352017][mpm_winnt:notice][pid8984:tid676]AH00354:Child:Starting150worker threads.
问题4:Apache服务器WEB目录权限的配置

在挖洞过程中,时常会出现目录泄露这样的漏洞,其实此类漏洞就是因为中间件的配置问题而造成的。

能够进行目录的遍历,这的确会造成很多的安全问题,那么如何进行web目录权限的配置呢?

其实这里跟第一个问题是类似的,第一个问题是对服务器的权限配置,这里是对某个目录配置访问限制,同样是在Apache\conf目录下的httpd.comf文件中添加对目录的权限配置

 
1
2
3
4
<Directory"C:\phpmystudy\WWW\test">
    Order allow,deny
    deny from all
</Directory>

这里test目录设置成任何人都不允许访问

这样也就避免了目录的泄露问题。

灵光一闪

最后突然想到一个问题,如何禁止某个目录运行php脚本文件,这种情形现在来说应该仍然十分受用,假如存在文件上传漏洞,那么通过这种方法禁止了脚本文件的运行,从而达到保护服务器的作用。

方法非常多,例如禁止当前目录访问,这里给出一种直接的方法,那就是禁止php脚本的执行

这里模拟了下文件上传,然后我们通过文件任意上传漏洞上传了我们的php脚本,发现是可以执行的,然后挂菜刀,传大马继续。。

这里的防御方法是给Apache\conf目录下的vhosts.conf添加如下信息

 
1
2
3
<Directory"C:\phpmystudy\WWW\upload">
php_flag engine off
</Directory>

这里即表示当前目录下关闭php脚本执行功能

再来访问已经变成空白了!

上述如有不当之处,敬请指出~

偶然下载了今年ISC大会360应急响应中心的一个ppt,在最后有个攻防领域专家注册考试目录,其中有很大一块就是中间件的安全,包括Apache、IIS、Tomcat、Weblogic等等,后面我会针对这些中间件,并且借着上面的考试要求进行一个安全配置的讲解。(自己之前也很少接触这块,因此只能算一个学习记录了。。)

Apache方面的考核内容:

1.Apache服务器权限配置

2.Apache服务器文件解析漏洞

3.Apache服务器日志文件审计方法

4.Apache服务器WEB目录权限的配置

下面我将针对上面几个要求,进行一个实例讲演!

问题1:Apache服务器权限配置

这里的权限配置指的就是在访问Apache服务器时限制哪些ip,允许哪些ip来访问。

配置文件在Apache\conf目录下的httpd.conf文件中

 
1
2
3
4
5
6
7
8
DocumentRoot  "C:\phpmystudy\WWW"
<Directory/>
    Options+Indexes+FollowSymLinks+ExecCGI
    AllowOverride All
    Order allow,deny
    Allow from all
    Require all granted
</Directory>

这里是初始状态,最重要的就是Order allow,deny下面的配置,可以看到我们这里的配置为Allow from all,因此允许任何人来访问我们的web服务器,但是我们修改成只允许10.10开头的ip访问,修改如下

 
1
2
Order allow,deny
Allow from10.10

我们可以看到我们访问服务器时就会出现访问禁止,实现了权限的配置。

 
1
2
    Order allow,deny
    Allow from192.168

如果想让内网实现访问,这里只允许内网网段的ip访问

但是实际上,这里没有添加127.0.0.1网段的,会导致我们的web主机登录不上web服务

下面作一个演示,我们只想让web主机登录,其他主机都登陆不上

 
1
2
3
    Order allow,deny
    Allow from127.0
    Deny from all

这里只有127.0.0.1的主机能访问,其余主机均登录不上,Apache服务器权限配置就告一段落。。

问题2:Apache服务器文件解析漏洞

这个应该很老套了,就是一个解析漏洞。

Apache对于文件名的解析是从后往前解析的,直到遇见一个它认识的文件类型为止。因此,如果web目录下存在以类似webshell.php.test这样格式命名的文件,Apache在解析时因为不认识.test这个文件类型,所以会一直往前解析,当解析到.php时,它认识了,因此会将它解析为PHP文件。

实际上我在复现的时候没有成功利用,原因很简单,目前这个解析漏洞只适用于以module方式解析php的apache,使用fastcgi方式解析php的apache不受影响。而我测试使用的phpmystudy正是使用的fastcgi方式。

防御方法:

apache配置文件,禁止.php.这样的文件执行,配置文件里面加入

<Files ~ “\.(php.|php3.)”>

Order Allow,Deny

Deny from all

</Files>

问题3:Apache服务器日志文件审计方法

这里主要有两个log文件,一个是access.log,一个是error.log,这是在windows环境下,其实一开始由于配置问题,没有开启access.log,配置同样是在Apache\conf目录下的httpd.conf文件中

 
1
2
3
##CustomLog "logs/access.log" common
...
#CustomLog "logs/access.log" combined

将前面的注释符删去即可~

然后就会生成access.log

 
1
2
::1--[07/Nov/2017:15:23:55+0800]"GET / HTTP/1.1"200369
::1--[07/Nov/2017:15:23:55+0800]"GET / HTTP/1.1"200369"-""Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0"

这里给出一张截图,是我网站服务器的Apache日志

一般情况下,我们都会写一个自定义的脚本来审计日志文件或者说下载市面上拥有成熟技术的日志审计软件。假如这是一台linux服务器,日志文件中出现了/etc/passwd的字样,就可以在一定程度上说明有人已经可以访问你的密钥文件,也就反映了你的网站可能已经被人攻破了,或者说出现了大量的sql注入语句,这些黑客行为都可以帮助你来审计一个网站的安全性。

而error.log则是记录了服务器运行时的出错情况

 
1
2
3
4
5
[Tue Nov0715:23:33.5418252017][mpm_winnt:notice][pid3232:tid636]AH00455:Apache/2.4.23(Win32)OpenSSL/1.0.2jPHP/5.4.45configured--resuming normal operations
[Tue Nov0715:23:33.5428262017][mpm_winnt:notice][pid3232:tid636]AH00456:Server built:Jul  1201616:42:20
[Tue Nov0715:23:33.5428262017][core:notice][pid3232:tid636]AH00094:Command line:'D:\\Server\\phpstudy\\Apache\\bin\\httpd.exe -d D:/Server/phpstudy/Apache'
[Tue Nov0715:23:33.5488282017][mpm_winnt:notice][pid3232:tid636]AH00418:Parent:Created childprocess8984
[Tue Nov0715:23:35.4574352017][mpm_winnt:notice][pid8984:tid676]AH00354:Child:Starting150worker threads.
问题4:Apache服务器WEB目录权限的配置

在挖洞过程中,时常会出现目录泄露这样的漏洞,其实此类漏洞就是因为中间件的配置问题而造成的。

能够进行目录的遍历,这的确会造成很多的安全问题,那么如何进行web目录权限的配置呢?

其实这里跟第一个问题是类似的,第一个问题是对服务器的权限配置,这里是对某个目录配置访问限制,同样是在Apache\conf目录下的httpd.comf文件中添加对目录的权限配置

 
1
2
3
4
<Directory"C:\phpmystudy\WWW\test">
    Order allow,deny
    deny from all
</Directory>

这里test目录设置成任何人都不允许访问

这样也就避免了目录的泄露问题。

灵光一闪

最后突然想到一个问题,如何禁止某个目录运行php脚本文件,这种情形现在来说应该仍然十分受用,假如存在文件上传漏洞,那么通过这种方法禁止了脚本文件的运行,从而达到保护服务器的作用。

方法非常多,例如禁止当前目录访问,这里给出一种直接的方法,那就是禁止php脚本的执行

这里模拟了下文件上传,然后我们通过文件任意上传漏洞上传了我们的php脚本,发现是可以执行的,然后挂菜刀,传大马继续。。

这里的防御方法是给Apache\conf目录下的vhosts.conf添加如下信息

 
1
2
3
<Directory"C:\phpmystudy\WWW\upload">
php_flag engine off
</Directory>

这里即表示当前目录下关闭php脚本执行功能

再来访问已经变成空白了!

上述如有不当之处,敬请指出~

【转】Apache服务器安全配置的更多相关文章

  1. 分享:linux下apache服务器的配置和管理

    linux下apache服务器的配置和管理. 一.两个重要目录: Apache有两个重要的目录:1.配置目录/etc/httpd/conf:2.文档目录/var/www: 二.两种配置模式: Apac ...

  2. Windows操作系统Apache服务器下配置PHP

    在Apache web服务器上发布PHP项目之前,需要进行相应的配置,服务器才能解析php文本,正常显示php动态页面内容.在进行php配置之前默认已经在Windows系统下安装好了Apache服务器 ...

  3. iOS学习系列-Apache服务器的配置

    配置Apache服务器 一.目的 能够有一个测试的服务器,不是所有的特殊网络服务都能找到免费得! 二.为什么我们要用"Apache"? Apache是目前使用最广的web服务器 M ...

  4. [iOS]超详细Apache服务器的配置(10.10系统)

    配置目的:有一个自己专属的测试服务器 我们需要做以下事情: 1.新建一个目录,存放网页 2.修改Apache配置文件httpd.conf - 修改两个路径 - 增加一个属性 - 支持PHP脚本 3.拷 ...

  5. 配置apache apache服务器如何配置多站点

    http://jingyan.baidu.com/article/5225f26b07605be6fa090890.html 让Apache在启动时能加载虚拟主机模块. 打开Apache安装目录下co ...

  6. Nginx和Apache服务器上配置反向代理

    在实际项目过程中,由于网站要用到一个在线编辑器(个性化的在线编辑软件),需要跨域进行通信!由于跨域通信较多,所以当时就想到在网站服务器上代理编辑软件的请求! 这就是“反向代理”的实际需求! 一.Ngi ...

  7. Apache服务器中配置虚拟机的方法

    新浪微博虚拟机开发配置步骤及介绍.1.由于后面虚拟机中需要用到Rewrite所以先编辑Apache的conf目录下的httpd.conf文件.(可根据实际需要操作)添加mod_rewrite.so模块 ...

  8. windows Apache服务器简单配置虚拟域名(转载)

    1.找到apache目录下的conf下的extra下的httpd-vhosts.conf虚拟主机配置文件 将下面的代码复制粘贴到最下面:   #<VirtualHost *:80>#   ...

  9. windows下配置lamp环境(1)---安装Apache服务器2.2.25

    window下lamp成为wamp; 安装wamp环境的第一步是安装Apache服务器.下面开始安装步骤图文并茂. 一.双击安装包点“next”进行下一步,然后同意协议(这张图没有截):

随机推荐

  1. Dependency Walker的替代品Dependencies

    在c++时代, Dependency Walker基本上是大部分程序员必备的工具之一,很可惜的是从2006起就不更新了.而且只支持vc的名字undemangle, https://github.com ...

  2. 爬取博主所有文章并保存到本地(.txt版)--python3.6

    闲话: 一位前辈告诉我大学期间要好好维护自己的博客,在博客园发布很好,但是自己最好也保留一个备份. 正好最近在学习python,刚刚从py2转到py3,还有点不是很习惯,正想着多练习,于是萌生了这个想 ...

  3. @Cacheable的实现原理

    如果你用过Spring Cache,你一定对这种配置和代码不陌生: <cache:annotation-driven cache-manager="cacheManager" ...

  4. alpha-咸鱼冲刺day8-紫仪

    总汇链接 一,合照 emmmmm.自然还是没有的. 二,项目燃尽图 三,项目进展 正在进行页面整合.然后还有注册跟登陆的功能完善-- 四,问题困难 数据流程大概是搞定了.不过语法不是很熟悉,然后还有各 ...

  5. 201621123040《Java程序设计》第十周学习总结

    1.本周学习总结 2.书面作业 2.1常用异常 2.1.1自己以前编写的代码中经常出现什么异常.需要捕获吗(为什么)?应如何避免? 算术异常ArithmeticException(除数为0的情况) 类 ...

  6. 20162328蔡文琛week04

    学号 20162328 <程序设计与数据结构>第4周学习总结 教材学习内容总结 本周学习了第四章和第七章,第四章中的内容已经有了初步定的掌握,布尔表达式的运用,是条件和循环语句的基础及数组 ...

  7. Twisted 延迟调用

    延迟(defer)是twisted框架中实现异步的编程体系,使程序设计可以采用事件驱动的机制 1.基本使用 defer可以看作一个管理回调函数的对象,可以向该对象添加需要的回调函数同时也可以指定该组函 ...

  8. 利用python实现简单登陆注册系统

    #!/usr/bin/env python # -*- coding:utf-8 -*- def login(username,password): ''' :param username:用户名 : ...

  9. 使用Putty连接Amazon EC2 Instance

    Amazon的EC2中,默认是不允许使用用户名和密码直接连接Instance的,而是通过AWS (Amazon Web Service)提供的证书.在第一次使用EC2的时候,AWS会要求你创建一个证书 ...

  10. 一个CSS简单入门网站

    讲的知识简单明了,很实用: http://zh.learnlayout.com/