CVE-2013-4547(Nginx文件名逻辑漏洞)

最新推荐文章于 2024-04-10 03:42:27 发布
最新推荐文章于 2024-04-10 03:42:27 发布
阅读量951 收藏 1
点赞数
分类专栏: 靶场 Nginx 文章标签: nginx 服务器 php 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WJ_11_13/article/details/127318722
版权

漏洞原理

此漏洞是利用了Nginx解析了错误的URl地址,使得绕过服务端限制解析了php文件,造成命令执行的危害
php-fpm.conf中的security.limit_extensions为空使得任意后缀都可以被解析
Nginx服务器将名为ggbond.php[0x20][0x00].php文件发给fastCGI,然而fastcgi在接受此文件时候只读取到ggbond.php[0x20][0x00];最后因为php-fpm.conf中的security.limit_extensions为空使得任意后缀都可以被解析;另一个利用此漏洞的前提是在Nginx0.8.41~1.4.3/1.5.0~1.5.7版本里

 漏洞复现

[root@localhost ~]# cd vulhub/nginx/CVE-2013-4547/   # 进入相关的漏洞环境
[root@localhost CVE-2013-4547]# ls
01.png  02.png  docker-compose.yml  nginx.conf  php-fpm  README.md  www
[root@localhost CVE-2013-4547]# setenforce 0 # 关闭selinux
[root@localhost CVE-2013-4547]# docker-compose up -d     # 启动容器
[root@localhost CVE-2013-4547]# docker ps -a             # 查看容器是否启动成功

# 浏览器访问,如下图环境正常
http://10.10.10.133:8080/

抓包修改空格绕过前端规则;文件后缀的后面加空格

 浏览器访问上传的文件;但是我们发现文件被下载到了本地;然而却没有执行ggbond文件中的php内置函数代码

 接下来抓取http://10.10.10.133:8080/uploadfiles/ggbond.php%20的请求包将其发送到repeater模块;进行改包
将后缀的%20修改为两个空格;之后进入到HEX十六进制代码中修改第二个空格为00空字符;意思是当服务器的fastCGI程序解析到00这个空字符时会终止解析后面的字符
实际cgi程序得到的文件名为ggbond.php[0x20]  # 即为ggbond.php[0x20][0x00].php被识别为ggbond.php[0x20]
由于在Nginx0.8.41~1.4.3/1.5.0~1.5.7版本中存在一个漏洞
php-fpm.conf中的security.limit_extensions为空使得任意后缀都可以被解析

修改完00空字符之后返回Raw代码中在空字符后面再加一个.php ;之后放行数据包查看回显是否成功读取php内置函数文件

爱吃仡坨
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2013-6117:CVE-2013-6117
04-29
CVE-2013-6117 $ ./CVE-2013-6117 -h Options: -h, --help display help information -f, --filename File containing list of IP addresses -t, --target Target IP -n, --threads No of concurrent threads (default: 100) $ ./CVE-2013-6117 -f hostfile.txt 1.2.4.4|name.no-ip.org:80|username|password $ ./CVE-2013-6117 -t 1.2.3.4 1.2.4.4|name.no-ip.org:80|username|password 参考:
中间件漏洞(一)CVE-2013-4547文件名逻辑漏洞
m0_63306943的博客
05-03 1488
这里也是一样包中的请求文件的总体后缀名为.phpnginx会首先将文件交给FastCGI处理并截断则请求的文件名为 shell.jpg,之后会交给PHP-FPM处理此时php-fpm.conf中的security.limit_extensions为空,也就是说任意后缀名都可以解析为PHP 所以会将 shell.jpg 文件当作php文件处理并返回给浏览器形成逻辑漏洞。根据nginx.conf文件中location中的定义,以.php结尾的文件都解析为php。反正结果后面的.php后缀最后都会被截断掉。
Nginx不一样的逻辑漏洞CVE-2013-4547
qq_43571759的博客
04-24 584
Nginx 文件名逻辑漏洞CVE-2013-4547) 漏洞说明 影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 漏洞分析 这一漏洞的原理是非法字符空格和截止符(\0)会导致Nginx解析URI时的有限状态机混乱,危害是允许攻击者通过一个非编码空格绕过后缀名限制。 正常情况下,只有.php后缀的文件才会被发送给fastcgi解析。 这里却错误地解析了请求的UR...
Nginx文件名逻辑漏洞CVE-2013-4547
bring_coco的博客
06-09 488
一.漏洞原理 总:这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。 举个例子,比如,nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下: location ~ \.php$ { include fastcgi_params; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param S
Nginx 文件名逻辑漏洞CVE-2013-4547
bqnagus
10-02 1862
vulhub-nginx 复现
Vulhub中Nginx系列之CVE-2013-4547CVE-2017-7529、Insecure-configuration、nginx_parsing_vulne 漏洞复现
weixin_41438728的博客
11-30 1298
Nginx系列漏洞复现一、Nginx 文件名逻辑漏洞CVE-2013-4547 )漏洞复现影响版本漏洞说明漏洞利用漏洞修复Nginx越界读取缓存漏洞(CVE-2017-7529 )漏洞复现影响版本漏洞说明概念介绍漏洞利用漏洞修复配置错误导致漏洞(insecure-configuration )影响版本影响说明1、CRLF注入漏洞Mistake 1. CRLF注入漏洞2、目录穿越漏洞3、add_header被覆盖nginx_parsing_vulnerability 一、Nginx 文件名逻辑漏洞CVE-
nginx 上传文件漏洞_文件上传漏洞总结(绕过方法)
weixin_33462927的博客
01-12 1459
文件上传漏洞总结什么是文件上传漏洞文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。文件上传流程通常一个文件以 HTTP 协议进行上传时,将以 POST 请求发送至 web 服务器web 服务器接收到请求后并同意后,用户与 web 服务器将建立连接,...
nginx-host绕过的三种方式
weixin_42902697的博客
02-08 631
利用host进行注入时绕过nginx对host的错误处理
漏洞复现之CVE-2013-4547
Blood_Pupil的博客
03-15 5184
CVE-2013-4547Nginx中间件的一个文件名解析漏洞 漏洞原理 【注:下文中[]表示字节】 以vulnhub提供的漏洞环境为例,我们首先看一下前端页面 再看一下后端的过滤 目前的情况看来我们不能传后缀名为php这一类的文件,那么我们就把文件后缀名改为jpg吧,然后上传 我们尝试访问下 看来上传成功了,我们得想办法执行,nginx不是把所有后缀名为php的文件交给fastcgi...
【vulhub漏洞复现】CVE-2013-4547 Nginx 文件名逻辑漏洞
RexHa的博客
03-04 2594
一、漏洞详情通过%00截断绕过后缀名的限制,使上传的php内容文件被解析执行。当Nginx得到一个用户请求时,首先对url进行解析,进行正则匹配,如果匹配到以.php后缀结尾的文件名,会将请求的PHP文件交给PHP-CGI去解析。假设服务器中存在文件‘123.png ',则可以通过访问如下网址让服务器认为'123.png '的后缀为php
Nginx越界读取缓存漏洞 CVE-2017-7529
03-13
Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件,则Nginx会直接将...
cve-2013-2070
08-14
自己总结出来的一个脚本,虽然是利用,但是工具是可以用。系统漏洞脚本
Androidroot源码利用CVE-2013-6282漏洞.zip
07-30
Androidroot源码利用CVE-2013-6282漏洞.zip,太多无法一一验证是否可用,程序如果跑不起来需要自调,部分代码功能进行参考学习。
CVE-2013-2251漏洞示范
06-18
利用CVE-2013-2251漏洞获取服务器的webshell,从而黑入服务器
nginx常见漏洞解析_nginx漏洞(4),【设计思想解读开源框架
最新发布
2401_84181368的博客
04-10 572
我们通过上述手段对请求进行了修改,利用此漏洞可以看到返回了一个set-cookie,也就是说错误的使用$uri配置会是用户的请求被黑客悄无声息的篡改掉。\r\n,可以直接修改返回报文的返回体。插入js代码引发xss。
CVE-2013-4547漏洞复现
HEAVEN569的博客
02-14 3348
Nginx 文件名逻辑漏洞 CVE-2013-4547 一、漏洞描述 其实这个漏洞和代码执行没有太大的关系,主要的原因是错误的解析了请求的URI,错误地获取到用户请求的文件名,导致权限绕过,代码执行的连带影响 二、漏洞原理 举个例子,比如,nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下:  location ~ \.php$ { include fastcgi_params; fastcgi_pass 127.0.0.1...
第十四届蓝桥杯校内模拟赛(第一期)题解分享
蔡欣致的个人博客
11-15 3279
蓝桥杯校内模拟赛部分题解(不全, 努力补中...)
Nginx文件名逻辑漏洞CVE-2013-4547)复现
m0_65150886的博客
10-18 73
这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。这是一个nginx解析漏洞。
hive启动报错:Relative path in absolute URI
登高自卑
04-06 6407
hive启动的时候出现错误: Exception in thread “main” java.lang.RuntimeException: java.lang.IllegalArgumentException: java.net.URISyntaxException: Relative path in absolute URI: KaTeX parse error: Expected '}', g...
nginx cve-2013-4547
04-08
nginx cve-2013-4547是指nginx服务器软件中的安全漏洞,被黑客利用可以导致服务器拒绝服务攻击。该漏洞影响nginx 1.4.0至1.4.3及1.5.0至1.5.6版本,建议用户及时升级软件版本以避免漏洞被利用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值