源URL:http://foreversong.cn/archives/789

偶然下载了今年ISC大会360应急响应中心的一个ppt,在最后有个攻防领域专家注册考试目录,其中有很大一块就是中间件的安全,包括Apache、IIS、Tomcat、Weblogic等等,后面我会针对这些中间件,并且借着上面的考试要求进行一个安全配置的讲解。(自己之前也很少接触这块,因此只能算一个学习记录了。。)

Apache方面的考核内容:

1.Apache服务器权限配置

2.Apache服务器文件解析漏洞

3.Apache服务器日志文件审计方法

4.Apache服务器WEB目录权限的配置

下面我将针对上面几个要求,进行一个实例讲演!

问题1:Apache服务器权限配置

这里的权限配置指的就是在访问Apache服务器时限制哪些ip,允许哪些ip来访问。

配置文件在Apache\conf目录下的httpd.conf文件中

 
1
2
3
4
5
6
7
8
DocumentRoot  "C:\phpmystudy\WWW"
<Directory/>
    Options+Indexes+FollowSymLinks+ExecCGI
    AllowOverride All
    Order allow,deny
    Allow from all
    Require all granted
</Directory>

这里是初始状态,最重要的就是Order allow,deny下面的配置,可以看到我们这里的配置为Allow from all,因此允许任何人来访问我们的web服务器,但是我们修改成只允许10.10开头的ip访问,修改如下

 
1
2
Order allow,deny
Allow from10.10

我们可以看到我们访问服务器时就会出现访问禁止,实现了权限的配置。

 
1
2
    Order allow,deny
    Allow from192.168

如果想让内网实现访问,这里只允许内网网段的ip访问

但是实际上,这里没有添加127.0.0.1网段的,会导致我们的web主机登录不上web服务

下面作一个演示,我们只想让web主机登录,其他主机都登陆不上

 
1
2
3
    Order allow,deny
    Allow from127.0
    Deny from all

这里只有127.0.0.1的主机能访问,其余主机均登录不上,Apache服务器权限配置就告一段落。。

问题2:Apache服务器文件解析漏洞

这个应该很老套了,就是一个解析漏洞。

Apache对于文件名的解析是从后往前解析的,直到遇见一个它认识的文件类型为止。因此,如果web目录下存在以类似webshell.php.test这样格式命名的文件,Apache在解析时因为不认识.test这个文件类型,所以会一直往前解析,当解析到.php时,它认识了,因此会将它解析为PHP文件。

实际上我在复现的时候没有成功利用,原因很简单,目前这个解析漏洞只适用于以module方式解析php的apache,使用fastcgi方式解析php的apache不受影响。而我测试使用的phpmystudy正是使用的fastcgi方式。

防御方法:

apache配置文件,禁止.php.这样的文件执行,配置文件里面加入

<Files ~ “\.(php.|php3.)”>

Order Allow,Deny

Deny from all

</Files>

问题3:Apache服务器日志文件审计方法

这里主要有两个log文件,一个是access.log,一个是error.log,这是在windows环境下,其实一开始由于配置问题,没有开启access.log,配置同样是在Apache\conf目录下的httpd.conf文件中

 
1
2
3
##CustomLog "logs/access.log" common
...
#CustomLog "logs/access.log" combined

将前面的注释符删去即可~

然后就会生成access.log

 
1
2
::1--[07/Nov/2017:15:23:55+0800]"GET / HTTP/1.1"200369
::1--[07/Nov/2017:15:23:55+0800]"GET / HTTP/1.1"200369"-""Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0"

这里给出一张截图,是我网站服务器的Apache日志

一般情况下,我们都会写一个自定义的脚本来审计日志文件或者说下载市面上拥有成熟技术的日志审计软件。假如这是一台linux服务器,日志文件中出现了/etc/passwd的字样,就可以在一定程度上说明有人已经可以访问你的密钥文件,也就反映了你的网站可能已经被人攻破了,或者说出现了大量的sql注入语句,这些黑客行为都可以帮助你来审计一个网站的安全性。

而error.log则是记录了服务器运行时的出错情况

 
1
2
3
4
5
[Tue Nov0715:23:33.5418252017][mpm_winnt:notice][pid3232:tid636]AH00455:Apache/2.4.23(Win32)OpenSSL/1.0.2jPHP/5.4.45configured--resuming normal operations
[Tue Nov0715:23:33.5428262017][mpm_winnt:notice][pid3232:tid636]AH00456:Server built:Jul  1201616:42:20
[Tue Nov0715:23:33.5428262017][core:notice][pid3232:tid636]AH00094:Command line:'D:\\Server\\phpstudy\\Apache\\bin\\httpd.exe -d D:/Server/phpstudy/Apache'
[Tue Nov0715:23:33.5488282017][mpm_winnt:notice][pid3232:tid636]AH00418:Parent:Created childprocess8984
[Tue Nov0715:23:35.4574352017][mpm_winnt:notice][pid8984:tid676]AH00354:Child:Starting150worker threads.
问题4:Apache服务器WEB目录权限的配置

在挖洞过程中,时常会出现目录泄露这样的漏洞,其实此类漏洞就是因为中间件的配置问题而造成的。

能够进行目录的遍历,这的确会造成很多的安全问题,那么如何进行web目录权限的配置呢?

其实这里跟第一个问题是类似的,第一个问题是对服务器的权限配置,这里是对某个目录配置访问限制,同样是在Apache\conf目录下的httpd.comf文件中添加对目录的权限配置

 
1
2
3
4
<Directory"C:\phpmystudy\WWW\test">
    Order allow,deny
    deny from all
</Directory>

这里test目录设置成任何人都不允许访问

这样也就避免了目录的泄露问题。

灵光一闪

最后突然想到一个问题,如何禁止某个目录运行php脚本文件,这种情形现在来说应该仍然十分受用,假如存在文件上传漏洞,那么通过这种方法禁止了脚本文件的运行,从而达到保护服务器的作用。

方法非常多,例如禁止当前目录访问,这里给出一种直接的方法,那就是禁止php脚本的执行

这里模拟了下文件上传,然后我们通过文件任意上传漏洞上传了我们的php脚本,发现是可以执行的,然后挂菜刀,传大马继续。。

这里的防御方法是给Apache\conf目录下的vhosts.conf添加如下信息

 
1
2
3
<Directory"C:\phpmystudy\WWW\upload">
php_flag engine off
</Directory>

这里即表示当前目录下关闭php脚本执行功能

再来访问已经变成空白了!

上述如有不当之处,敬请指出~

偶然下载了今年ISC大会360应急响应中心的一个ppt,在最后有个攻防领域专家注册考试目录,其中有很大一块就是中间件的安全,包括Apache、IIS、Tomcat、Weblogic等等,后面我会针对这些中间件,并且借着上面的考试要求进行一个安全配置的讲解。(自己之前也很少接触这块,因此只能算一个学习记录了。。)

Apache方面的考核内容:

1.Apache服务器权限配置

2.Apache服务器文件解析漏洞

3.Apache服务器日志文件审计方法

4.Apache服务器WEB目录权限的配置

下面我将针对上面几个要求,进行一个实例讲演!

问题1:Apache服务器权限配置

这里的权限配置指的就是在访问Apache服务器时限制哪些ip,允许哪些ip来访问。

配置文件在Apache\conf目录下的httpd.conf文件中

 
1
2
3
4
5
6
7
8
DocumentRoot  "C:\phpmystudy\WWW"
<Directory/>
    Options+Indexes+FollowSymLinks+ExecCGI
    AllowOverride All
    Order allow,deny
    Allow from all
    Require all granted
</Directory>

这里是初始状态,最重要的就是Order allow,deny下面的配置,可以看到我们这里的配置为Allow from all,因此允许任何人来访问我们的web服务器,但是我们修改成只允许10.10开头的ip访问,修改如下

 
1
2
Order allow,deny
Allow from10.10

我们可以看到我们访问服务器时就会出现访问禁止,实现了权限的配置。

 
1
2
    Order allow,deny
    Allow from192.168

如果想让内网实现访问,这里只允许内网网段的ip访问

但是实际上,这里没有添加127.0.0.1网段的,会导致我们的web主机登录不上web服务

下面作一个演示,我们只想让web主机登录,其他主机都登陆不上

 
1
2
3
    Order allow,deny
    Allow from127.0
    Deny from all

这里只有127.0.0.1的主机能访问,其余主机均登录不上,Apache服务器权限配置就告一段落。。

问题2:Apache服务器文件解析漏洞

这个应该很老套了,就是一个解析漏洞。

Apache对于文件名的解析是从后往前解析的,直到遇见一个它认识的文件类型为止。因此,如果web目录下存在以类似webshell.php.test这样格式命名的文件,Apache在解析时因为不认识.test这个文件类型,所以会一直往前解析,当解析到.php时,它认识了,因此会将它解析为PHP文件。

实际上我在复现的时候没有成功利用,原因很简单,目前这个解析漏洞只适用于以module方式解析php的apache,使用fastcgi方式解析php的apache不受影响。而我测试使用的phpmystudy正是使用的fastcgi方式。

防御方法:

apache配置文件,禁止.php.这样的文件执行,配置文件里面加入

<Files ~ “\.(php.|php3.)”>

Order Allow,Deny

Deny from all

</Files>

问题3:Apache服务器日志文件审计方法

这里主要有两个log文件,一个是access.log,一个是error.log,这是在windows环境下,其实一开始由于配置问题,没有开启access.log,配置同样是在Apache\conf目录下的httpd.conf文件中

 
1
2
3
##CustomLog "logs/access.log" common
...
#CustomLog "logs/access.log" combined

将前面的注释符删去即可~

然后就会生成access.log

 
1
2
::1--[07/Nov/2017:15:23:55+0800]"GET / HTTP/1.1"200369
::1--[07/Nov/2017:15:23:55+0800]"GET / HTTP/1.1"200369"-""Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0"

这里给出一张截图,是我网站服务器的Apache日志

一般情况下,我们都会写一个自定义的脚本来审计日志文件或者说下载市面上拥有成熟技术的日志审计软件。假如这是一台linux服务器,日志文件中出现了/etc/passwd的字样,就可以在一定程度上说明有人已经可以访问你的密钥文件,也就反映了你的网站可能已经被人攻破了,或者说出现了大量的sql注入语句,这些黑客行为都可以帮助你来审计一个网站的安全性。

而error.log则是记录了服务器运行时的出错情况

 
1
2
3
4
5
[Tue Nov0715:23:33.5418252017][mpm_winnt:notice][pid3232:tid636]AH00455:Apache/2.4.23(Win32)OpenSSL/1.0.2jPHP/5.4.45configured--resuming normal operations
[Tue Nov0715:23:33.5428262017][mpm_winnt:notice][pid3232:tid636]AH00456:Server built:Jul  1201616:42:20
[Tue Nov0715:23:33.5428262017][core:notice][pid3232:tid636]AH00094:Command line:'D:\\Server\\phpstudy\\Apache\\bin\\httpd.exe -d D:/Server/phpstudy/Apache'
[Tue Nov0715:23:33.5488282017][mpm_winnt:notice][pid3232:tid636]AH00418:Parent:Created childprocess8984
[Tue Nov0715:23:35.4574352017][mpm_winnt:notice][pid8984:tid676]AH00354:Child:Starting150worker threads.
问题4:Apache服务器WEB目录权限的配置

在挖洞过程中,时常会出现目录泄露这样的漏洞,其实此类漏洞就是因为中间件的配置问题而造成的。

能够进行目录的遍历,这的确会造成很多的安全问题,那么如何进行web目录权限的配置呢?

其实这里跟第一个问题是类似的,第一个问题是对服务器的权限配置,这里是对某个目录配置访问限制,同样是在Apache\conf目录下的httpd.comf文件中添加对目录的权限配置

 
1
2
3
4
<Directory"C:\phpmystudy\WWW\test">
    Order allow,deny
    deny from all
</Directory>

这里test目录设置成任何人都不允许访问

这样也就避免了目录的泄露问题。

灵光一闪

最后突然想到一个问题,如何禁止某个目录运行php脚本文件,这种情形现在来说应该仍然十分受用,假如存在文件上传漏洞,那么通过这种方法禁止了脚本文件的运行,从而达到保护服务器的作用。

方法非常多,例如禁止当前目录访问,这里给出一种直接的方法,那就是禁止php脚本的执行

这里模拟了下文件上传,然后我们通过文件任意上传漏洞上传了我们的php脚本,发现是可以执行的,然后挂菜刀,传大马继续。。

这里的防御方法是给Apache\conf目录下的vhosts.conf添加如下信息

 
1
2
3
<Directory"C:\phpmystudy\WWW\upload">
php_flag engine off
</Directory>

这里即表示当前目录下关闭php脚本执行功能

再来访问已经变成空白了!

上述如有不当之处,敬请指出~

【转】Apache服务器安全配置的更多相关文章

  1. 分享:linux下apache服务器的配置和管理

    linux下apache服务器的配置和管理. 一.两个重要目录: Apache有两个重要的目录:1.配置目录/etc/httpd/conf:2.文档目录/var/www: 二.两种配置模式: Apac ...

  2. Windows操作系统Apache服务器下配置PHP

    在Apache web服务器上发布PHP项目之前,需要进行相应的配置,服务器才能解析php文本,正常显示php动态页面内容.在进行php配置之前默认已经在Windows系统下安装好了Apache服务器 ...

  3. iOS学习系列-Apache服务器的配置

    配置Apache服务器 一.目的 能够有一个测试的服务器,不是所有的特殊网络服务都能找到免费得! 二.为什么我们要用"Apache"? Apache是目前使用最广的web服务器 M ...

  4. [iOS]超详细Apache服务器的配置(10.10系统)

    配置目的:有一个自己专属的测试服务器 我们需要做以下事情: 1.新建一个目录,存放网页 2.修改Apache配置文件httpd.conf - 修改两个路径 - 增加一个属性 - 支持PHP脚本 3.拷 ...

  5. 配置apache apache服务器如何配置多站点

    http://jingyan.baidu.com/article/5225f26b07605be6fa090890.html 让Apache在启动时能加载虚拟主机模块. 打开Apache安装目录下co ...

  6. Nginx和Apache服务器上配置反向代理

    在实际项目过程中,由于网站要用到一个在线编辑器(个性化的在线编辑软件),需要跨域进行通信!由于跨域通信较多,所以当时就想到在网站服务器上代理编辑软件的请求! 这就是“反向代理”的实际需求! 一.Ngi ...

  7. Apache服务器中配置虚拟机的方法

    新浪微博虚拟机开发配置步骤及介绍.1.由于后面虚拟机中需要用到Rewrite所以先编辑Apache的conf目录下的httpd.conf文件.(可根据实际需要操作)添加mod_rewrite.so模块 ...

  8. windows Apache服务器简单配置虚拟域名(转载)

    1.找到apache目录下的conf下的extra下的httpd-vhosts.conf虚拟主机配置文件 将下面的代码复制粘贴到最下面:   #<VirtualHost *:80>#   ...

  9. windows下配置lamp环境(1)---安装Apache服务器2.2.25

    window下lamp成为wamp; 安装wamp环境的第一步是安装Apache服务器.下面开始安装步骤图文并茂. 一.双击安装包点“next”进行下一步,然后同意协议(这张图没有截):

随机推荐

  1. java并发包——阻塞队列BlockingQueue及源码分析

    一.摘要 BlockingQueue通常用于一个线程在生产对象,而另外一个线程在消费这些对象的场景,例如在线程池中,当运行的线程数目大于核心的线程数目时候,经常就会把新来的线程对象放到Blocking ...

  2. Alpha第一天

    Alpha第一天 听说 031502543 周龙荣(队长) 031502615 李家鹏 031502632 伍晨薇 031502637 张柽 031502639 郑秦 1.前言 任务分配是VV.ZQ. ...

  3. Beta冲刺 第七天

    Beta冲刺 第七天 昨天的困难 昨天的困难在一些多表查询上,不熟悉hibernate的套路,走了很多弯路. 第一次使用图表插件,在图表的显示问题上花了一定的时间. 对于页面绑定和后台数据自动填充的理 ...

  4. 201621123031 《Java程序设计》第6周学习总结

    作业06-接口.内部类 1. 本周学习总结 1.1 面向对象学习暂告一段落,请使用思维导图,以封装.继承.多态为核心概念画一张思维导图或相关笔记,对面向对象思想进行一个总结. 注1:关键词与内容不求多 ...

  5. 在Apache中运行Python WSGI应用

    我们介绍如何使用Apache模块mod_wsgi来运行Python WSGI应用. 安装mod_wsgi 我们假设你已经有了Apache和Python环境,在Linux或者Mac上,那第一步自然是安装 ...

  6. python day1 基本语法作业

    一.过7 start =1 while start<=10: if start !=7: print(start) start +=1 二.100以内的和 sum = 0 start = 1 w ...

  7. AWK读书笔记

    1.awk 'parttern {action}' filename 从文件中逐行读取并匹配parttern,若匹配成功执行action否则读取下一行. parttern和action都可选,若省略p ...

  8. 火车头采集器对接织梦cms图集发布时, 采集网上图片超时的解决方法

    背景介绍: 火车头采集器对接织梦cms图片集发布时, 对于多张(超过30张)大图片时, 经常会出现图集发布超时的情况.  问题分析: 因为php对于资源的处理有默认的超时时间30秒, 而我尝试了好多方 ...

  9. 延迟确认和Nagle算法

    前篇文章介绍了三次握手和四次挥手,了解了TCP是如何建立和断开连接的,文末还提到了抓包挥手时的一个“异常”现象,当时无法解释,特地查了资料,知道了数据传输中的延迟确认策略. 何谓延迟确认策略? WIK ...

  10. 新概念英语(1-137)A pleasant dream

    Lesson 137 A pleasant dream 美好的梦 Listen to the tape then answer this question. What would Julie like ...