深夜出炉:httpoxy远程代理感染漏洞浅析(更新poc)

阅读量227000

|

发布时间 : 2016-07-19 00:16:35

http://p9.qhimg.com/t01d890b9707ad23193.png

作者: cyg07@360信息安全部

 

一. 前言

httpoxy是一个刚暴露出来的漏洞,该漏洞主要存在于apache等组件中会对HTTP头部的Proxy字段名变换为“HTTP_PROXY”,Value值不变,进而会传递给对应的CGI来执行。如果CGI或者脚本中使用对外请求的组件依赖的是“HTTP_PROXY”这个环境变量,那就可能被污染。

比较严重的情况是在CGI内部请求的连接是一个涉及到内部隐私的链接,那就有可能比较严峻。

 

二. 实践测试

原理上的东西基本“前言“也囊括了,这里给个简单的测试例子吧。

1)  在 123.59.120.9 使用apache搭建一个cgi-bin服务

2)  在里头创建一个叫“360sec.sh“,内容如下

      http://p1.qhimg.com/t014e49fdd384437cac.png

3)  模拟做一个请求,注意其中的 Proxy 字段

http://p4.qhimg.com/t01d4081fbcd526dd8b.png

123.59.119.25:3000 是我做的一个代理

4)  请求完了,你可以在 123.59.119.25 上看到 123.59.120.9 的请求

http://p6.qhimg.com/t0100a054ace096bd7c.png

 

注意:其实wget和curl使用的都是小写的“http_proxy“,不会被这个影响到,例子为了方便我就修改了下,本质上是一样的。

 

三. 关于影响

高兴和不高兴的是,

1)    很多内部API还是使用可信的ssl来通信,这样实际是不受影响的

2)    虽然https://httpoxy.org/ 举了部分的例子,但看上去并没有影响得那么多

3)    最开心的是wget/curl不受影响,有其它异议的可以反馈过来

4)    不过以邪恶的心态看待,估计接下来就要开始爆发各种攻击姿势了,不确定能涨出什么样的姿势

 

四. 关于修复

冷静点,看待这个洞,不过这是个郁闷的修复工作。

给个已经有内幕的链接。

https://access.redhat.com/security/vulnerabilities/httpoxy

. 更新poc

https://github.com/httpoxy/php-fpm-httpoxy-poc


本文由360GearTeam原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/84227

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360GearTeam
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66