CVE-2013-4547漏洞复现

最新推荐文章于 2023-08-02 20:36:56 发布
最新推荐文章于 2023-08-02 20:36:56 发布
阅读量3.3k 收藏 6
点赞数 4
分类专栏: 安全漏洞 渗透测试 文章标签: 渗透测试 安全漏洞 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HEAVEN569/article/details/113805042
版权

Nginx 文件名逻辑漏洞  CVE-2013-4547

一、漏洞描述

 其实这个漏洞和代码执行没有太大的关系,主要的原因是错误的解析了请求的URI,错误地获取到用户请求的文件名,导致权限绕过,代码执行的连带影响

二、漏洞原理

举个例子,比如,nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下: 

location ~ \.php$ {

    include        fastcgi_params;

    fastcgi_pass   127.0.0.1:9000;

    fastcgi_index  index.php;

    fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;

    fastcgi_param  DOCUMENT_ROOT /var/www/html;

}

 

正常情况下(关闭了pathinfo的情况下),只有.php后缀的文件才会被发送给fastcgi解析。

而存在CVE-2013-4547的情况下,我们请求1.gif[0x20][0x00].php,这个URI可以匹配上正则\.php$,可以进入这个Location块;但进入后,Nginx却错误地认为请求的文件是1.gif[0x20],就设置其为SCRIPT_FILENAME的值发送给fastcgi。

Fastcgi根据SCRIPT_FILENAME的值进行解析,最后造成了解析漏洞。

所以,我们只需要上传一个空格结尾的文件,即可使PHP解析之。

再举个例子,比如很多网站限制了允许访问后台的IP: 

location /admin/ {

    allow 127.0.0.1;

    deny all;

}

我们可以请求如下URI:/test[0x20]/../admin/index.php,这个URI不会匹配上location后面的/admin/,也就绕过了其中的IP验证;但最后请求的是/test[0x20]/../admin/index.php文件,也就是/admin/index.php,成功访问到后台。(这个前提是需要有一个目录test:这是Linux系统的特点,如果有一个不存在的目录,则即使跳转到上一层,也会爆文件不存在的错误,Windows下没有这个限制)

 

三、漏洞影响版本

Nginx 0.8.41~1.4.3

Nginx 1.5.0~1.5.7

四、漏洞编号

CVE-2013-4547

五、漏洞环境搭建和复现

1.使用在ubuntu搭建的vulhub漏洞环境,启动漏洞环境

cd vulhub-master/nginx/CVE-2013-4547              //切换到靶机目录    

docker-compose build                                      //创建环境

docker-compose up -d                           //打开环境

2.访问http://192.168.187.133:8080/,确认是否搭建好环境

3.查看源代码,查看过滤的文件格式

4.上传一个图片格式的木马文件名字为muma.jpg,内容是<?php phpinfo();?>,

被burp 拦截后需要在文件名后面加两个空格,发现上传成功

5.构造muma.jpg[0x20][0x00].php 来造成Nginx 解析漏洞使我们的muma.jpg解析成php,访问。  

先上传muma.jpg  .php 文件,注意jpg后面有两个空格

然后在burp中抓取数据包把muma.jpg后面的两个空格 [0x20][0x20] ---> [0x20][0x00] ,发现成功上传

6.访问http://192.168.187.133:8080/uploadfiles/muma.jpg  .php

但是空格会被编码,在burp手动改为muma.jpg  .php 

最后把muma.jpg后面的两个空格 [0x20][0x20] ---> [0x20][0x00] ,发现成功访问文件

 

参考链接:https://www.cnblogs.com/yuzly/p/11221564.html

HEAVM
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Nginx 文件名逻辑漏洞CVE-2013-4547
bqnagus
10-02 1875
vulhub-nginx 复现
Vulhub中Nginx系列之CVE-2013-4547CVE-2017-7529、Insecure-configuration、nginx_parsing_vulne 漏洞复现
weixin_41438728的博客
11-30 1336
Nginx系列漏洞复现一、Nginx 文件名逻辑漏洞CVE-2013-4547漏洞复现影响版本漏洞说明漏洞利用漏洞修复Nginx越界读取缓存漏洞CVE-2017-7529 )漏洞复现影响版本漏洞说明概念介绍漏洞利用漏洞修复配置错误导致漏洞(insecure-configuration )影响版本影响说明1、CRLF注入漏洞Mistake 1. CRLF注入漏洞2、目录穿越漏洞3、add_header被覆盖nginx_parsing_vulnerability 一、Nginx 文件名逻辑漏洞CVE-
CVE-2013-4547(Nginx文件名逻辑漏洞
爱吃仡坨的Blog
10-14 958
漏洞是利用了Nginx解析了错误的URl地址,使得绕过服务端限制解析了php文件,造成命令执行的危害php-fpm.conf中的security.limit_extensions为空使得任意后缀都可以被解析Nginx服务器将名为ggbond.php[0x20][0x00].php文件发给fastCGI,然而fastcgi在接受此文件时候只读取到ggbond.php[0x20][0x00];
Vulhub-CVE-2013-4547
weixin_54126139的博客
08-02 75
漏洞为文件名逻辑漏洞,该漏洞在上传图片时,修改其16进制编码可使其绕过策略,导致解析为php。当Nginx得到一个用户请求时,首先对url进行解析,进行正则匹配,如果匹配到以.php后缀结尾的文件名,会将请求的PHP文件交给PHP-CGI去解析。当php-fpm处理时碰到0x00截断,则图片会当作php文件解析,触发图片马。
漏洞复现CVE-2013-4547
Blood_Pupil的博客
03-15 5210
CVE-2013-4547是Nginx中间件的一个文件名解析漏洞 漏洞原理 【注:下文中[]表示字节】 以vulnhub提供的漏洞环境为例,我们首先看一下前端页面 再看一下后端的过滤 目前的情况看来我们不能传后缀名为php这一类的文件,那么我们就把文件后缀名改为jpg吧,然后上传 我们尝试访问下 看来上传成功了,我们得想办法执行,nginx不是把所有后缀名为php的文件交给fastcgi...
CVE-2013-6117:CVE-2013-6117
04-29
CVE-2013-6117 $ ./CVE-2013-6117 -hOptions: -h, --help display help information -f, --filename File containing list of IP addresses -t, --target Target IP -n, --threads No of concurrent threads ...
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
最新发布
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
BMC 历史漏洞汇总
weixin_40418457的博客
06-18 2499
刚开始接触 BMC 以为研究的人比较少,感觉一般人也没有机会接触到。尤其是服务器风扇的声音,一般人也不想去碰。去查了一下 CVE 之后,发现有不少漏洞,还挺多人玩的。近期也在研究这一块,把 BMC 曾曝出的漏洞做个汇总,看看大佬们都有哪些奇妙的思路。 BMC (Baseboard Management Controller)即 基板管理控制器 ,提供 IPMI/Redfish 架构中的智能特性。它是嵌入在计算机(通常是服务器)主板上的专用微控制器。 BMC负责管理系统管理软件和平台硬件之间的接口。用于计
Nginx 文件名逻辑漏洞CVE-2013-4547漏洞复现
鸥鹭忘机
10-03 4085
前言 影响版本:Nginx 0.8.41 到 1.4.3 / 1.5.0 到 1.5.7。 利用条件:php-fpm.conf中的security.limit_extensions为空。 建议在学习该漏洞前先学习nginx的原理:https://zhuanlan.zhihu.com/p/136801555。 security.limit_extensions设置了就只能解析指定后缀的文件,为空可以解析所有后缀文件。 漏洞原理 首先来看nginx解析php文件的配置信息: location ~ \.php
漏洞复现】Nginx 文件名逻辑漏洞CVE-2013-4547
cj_Hydra's Blog
11-04 568
前言: 这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。 举个例子,比如,Nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下: location ~ \.php$ { include fastcgi_params; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_para
Nginx 文件名逻辑漏洞 CVE-2013-4547 漏洞复现
ADummy的博客
02-25 275
Nginx 文件名逻辑漏洞CVE-2013-4547) by ADummy 0x00利用路线 ​ 上传文件后边空格—>上传文件成功—>php文件被成功解析 0x01漏洞介绍 ​ 这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。 影响版本 Nginx 0.8.41 ~ 1.4.3 Nginx 1.5.0 ~ 1.5.7 0x02漏洞复现 ​ 这个漏洞其实和代码执行没有太大关系,其主要
Nginx文件名逻辑漏洞CVE-2013-4547漏洞复现
薛定谔嘚喵博客
04-01 128
Nginx文件名逻辑漏洞CVE-2013-4547),这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。
为什么说BMC才是国产服务器的“命门”?
热门推荐
kaili的博客
11-01 1万+
说起BMC,很多人不太了解,毕竟一般我们的电脑上不会带BMC。 但是说起服务器,大家并不陌生。而BMC正是监控和管理服务器的关键部件。 BMC全称为基板管理控制器(即Baseboard Management Controller)是用于监控和管理服务器的专用控制器,正因为如此,它比主机服务器享有更大的权限,堪称“服务器的命门”。 1. 服务器天生有漏洞 服务器作为支撑当前互联网各种应用的“幕后英雄”,主要为各种应用提供存储和计算作用。然而,这一“幕后英雄”却天然存在漏洞。 首先,服务器的一大漏洞来源是.
Nginx 文件名逻辑漏洞CVE-2013-4547
黑白的博客
12-20 1470
声明 好好学习,天天向上 漏洞描述 这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。 影响范围 Nginx 0.8.41~1.4.3 Nginx 1.5.0~1.5.7 复现过程 这里使用1.4.2版本 使用vulhub cd /app/vulhub-master/nginx/CVE-2017-7529 使用docker启动 docker-compose build docker-compose up -d 环
Nginx 文件名逻辑漏洞复现CVE-2013-4547
W小哥
05-21 665
一、漏洞描述 影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 二、漏洞原理 这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。 举个例子,比如,Nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下: location ~ .php$ { include fastcgi_params; fastcgi_pass 127.0.0.1:90
命令执行和代码执行漏洞
谢公子的博客
12-06 1万+
远程代码执行漏洞 代码执行漏洞也叫代码注入漏洞,指用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。 修复方案:禁用 eval(),system()等可以执行命令的函数。如果一定要使用这些函数,则需要对用户的输入数据进行处理。此外,在PHP/JSP中...
CVE-2013-2768 漏洞利用
07-28
很抱歉,但是根据提供的引用内容,我没有找到关于CVE-2013-2768漏洞的相关信息。请确认是否有其他引用内容提供了相关信息。如果有,请提供相关引用内容,我将尽力回答您的问题。 #### 引用[.reference_title] - *1* *2* [CVE-2013-4547 Nginx文件名解析漏洞详解](https://blog.csdn.net/weixin_40228200/article/details/127132011)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CVE-2013-4547漏洞复现](https://blog.csdn.net/HEAVEN569/article/details/113805042)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值