在做web安全测试时,常常接手到啥功能都没有的页面。然而大多数站点都用到nginx服务器,不妨可以从这个角度去测试利用。
一、CRLF注入漏洞
漏洞描述
CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a(URL编码则是%0d,%0a)
在HTTP协议中,HTTP header是用一个CRLF分隔的,HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。
CRLF漏洞常出现在Location与Set-cookie消息头中。
漏洞原理
1、 修改nginx.conf,在如下图位置添加如下配置,此配置实现了强制跳转的功能,当用户访问nginx服务器时由于此配置的存在会被强制跳转到以https协议访问之前访问的链接。
(原本的目的是为了让http的请求跳转到https上)
2、上面的配置的关键利用点有两个:
①是配置中的$url是我们可以控制的,这样我们就可以在$url处填入CRLF,Nginx会将$url进行解码,导致传入%0a%0d即可引入换行符,对服务器进行访问实现CRLF注入。
②是服务器会返回一个302跳转给用户,所以我们注入的头部参数又会返回到客户这边。
漏洞利用
正常得请求响应
HTTP/1.1 302 Moved Temporarily
Date: Fri, 27 Jun 2020 17:52:17 GMT
Content-Type: text/html
Content-Length: 154
Connection: close
Location: http://www.xxxx.com
异常请求响应
通过两个CRLF分隔符,往body注入xss语句
二、目录穿越漏洞
漏洞原理
Nginx在配置别名(Alias)的时候,如果忘记加/,将造成一个目录穿越漏洞。
错误的配置文件示例(原本的目的是为了让用户访问到/home/目录下的文件):
漏洞利用
Payload: http://your-ip:8081/files../ ,成功穿越到根目录:
三、add_header被覆盖
漏洞原理
Nginx配置文件子块(server、location、if)中的add_header,将会覆盖父块中的add_header添加的HTTP头,造成一些安全隐患。
如下列代码,整站(父块中)添加了CSP头:
/test2的location中又添加了X-Content-Type-Options头,导致父块中的add_header全部失效:
/test2将Content-Security-Policy(内容安全策略)头覆盖
漏洞利用
XSS可被触发:
GOT IT!
******************************************************
小实验小结,具体测试利用方式需根据具体实践场景~
2979
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
