nginx文件类型错误解析漏洞

最新推荐文章于 2024-06-05 09:06:29 发布
最新推荐文章于 2024-06-05 09:06:29 发布
阅读量649 收藏
点赞数
分类专栏: WEB安全 文章标签: nginx 解析漏洞

漏洞介绍:Nginx ("engine x") 是一个高性能的 HTTP和反向代理服务器,Nginx作为WEB服务器可以处理静态文件,索引文件以及自动索引,能够使用缓存加速反向代理,并提供简单的负载均衡及容错、模块化的架构等功能。

PHP CGI 中 fix_pathinfo 引起的解析漏洞分析

这个安全问题最早被人所了解是通过国内安全组织80sec的一篇文章《nginx文件类型错误解析漏洞》,文章指出当Nginx配置FastCGI使用PHP时,会将诸如http://www.test.com/test.jpg/anything.php 这样的请求,把test.jpg当作PHP文件来进行解析,而anything.php这个文件并不存在。实际上这并不是一个Nginx的漏洞,而是PHP5默认配置的缺陷造成的。

示例:


问题的本质是什么呢?
比如, 下面的Nginx conf(Nginx配置文件):

location ~ \.php($|/) {
     fastcgi_pass   127.0.0.1:9000;
     fastcgi_index  index.php;
     set $script    $uri;
     set $path_info "";
     if ($uri ~ "^(.+\.php)(/.*)") {
          set  $script     $1;
          set  $path_info  $2;
     }
     include       fastcgi_params;
     fastcgi_param SCRIPT_FILENAME   $document_root$script;
     fastcgi_param SCRIPT_NAME       $script;
     fastcgi_param PATH_INFO         $path_info;
}
当我们发出http://www.test.com/test.jpg/anything.php这样的请求时,通过“^(.+\.php)(/.*)”这段正则匹配后,SCRIPT_NAME会被设置为“test.jpg/anything.php”,继而构造成SCRIPT_FILENAME传递给整个PHP CGI,但是PHP又为什么会接受这样的参数,并且把test.jpg解析了呢?问题就在于PHP的CGI SAPI中的参数cgi.fix_pathinfo这个参数了。
关于cgi.fix_pathinfo这个参数的描述: 
; cgi.fix_pathinfo provides *real* PATH_INFO/PATH_TRANSLATED support for CGI.  PHP's
; previous behaviour was to set PATH_TRANSLATED to SCRIPT_FILENAME, and to not grok
; what PATH_INFO is.  For more information on PATH_INFO, see the cgi specs.  Setting
; this to 1 will cause PHP CGI to fix it's paths to conform to the spec.  A setting
; of zero causes PHP to behave as before.  Default is 1.  You should fix your scripts
; to use SCRIPT_FILENAME rather than PATH_TRANSLATED.
cgi.fix_pathinfo=1
      上述描述了默认情况cgi.fix_pathinfo的值为1,那么如果开启了这个选项,就会触发在PHP中的如下逻辑:
/*
 * if the file doesn't exist, try to extract PATH_INFO out
 * of it by stat'ing back through the '/'
 * this fixes url's like /info.php/test
 */
if (script_path_translated &&
     (script_path_translated_len = strlen(script_path_translated)) > 0 &&
     (script_path_translated[script_path_translated_len-1] == '/' ||
....//以下省略

PHP CGI 以 / 为分隔符号从后向前依次检查路径,当检测到test.jpg/anything.php时,PHP会认为SCRIPT_FILENAME是test.jpg, 而anything.php是PATH_INFO, 然后PHP就把test.jpg当作一个PHP文件来解释执行。

在很多使用 php-fpm (<0.6) 的主机中也会出现这个问题,但新的 php-fpm 的已经关闭了 cgi.fix_pathinfo。

提示:可使用copy命令制作图片木马,如copy a.jpg/b+a.txt/a b.gif

本文摘自:合天网安实验室

6um1n
关注
专栏目录
利用 Nginx 畸形解析漏洞 getshell
weixin_45253622的博客
12-09 3691
Nginx Nginx 是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好。 漏洞描述: 对于任意文件名,在后面添加/xxx.php(xxx为任意字符)后,即可将文件作为php解析。 例:info.jpg后面加上/xxx.php,会将info.jpg 以php解析漏洞原理: 查看 nginx 配置文件: cd /home/ch1/Desktop
第八天Apache解析漏洞IIS 解析漏洞Nginx 解析漏洞文件上传%oo截断
代码审计
03-11 4783
这里写目录标题一级目录二级目录三级目录 一级目录 二级目录 三级目录 文件名后缀就一个%00字节,可以截断某些函数对文件名的判断。在许多语言函数中,处理字符串的函数中0x00被认为是终止符。 例如: 网站上传函数处理xxx.php%00.jpg时,首先后缀名是合法的jpg格式,可以上传,在保存文件时,遇到%00字符丢弃后面的jpg,文件后缀最终保存的后缀名为xxx.php ...
Nginx文件类型错误解析漏洞--攻击演练》 (转)
weixin_34126557的博客
04-03 117
今天看书看到其中提到的一个漏洞,那就是Nginx+PHP的服务器中,如果PHP的配置里 cgi.fix_pathinfo=1 那么就会产生一个漏洞。这个配置默认是1的,设为0会导致很多MVC框架(如Thinkphp)都无法运行。这个漏洞就是比如 localhost/img/1.jpg 是正常地访问一张图片,而 localhost/img/1.jpg/1.php 却会把这张图片作为PHP文件来执行!...
Nginx文件类型错误解析漏洞--攻击演练
weixin_33896726的博客
04-03 138
今天看书看到其中提到的一个漏洞,那就是Nginx+PHP的服务器中,如果PHP的配置里 cgi.fix_pathinfo=1 那么就会产生一个漏洞。这个配置默认是1的,设为0会导致很多MVC框架(如Thinkphp)都无法运行。这个漏洞就是比如 localhost/img/1.jpg 是正常地访问一张图片,而 localhost/img/1.jpg/1.php 却会把这张图片作为PHP文件来执行!...
文件上传漏洞-07】中间件文件解析漏洞概述及实例——Apache、IIS和Nginx
m0_64378913的博客
07-12 3427
(1)第一种:未知扩展名解析漏洞 Apache对文件解析主要是从右到左开始判断并进行解析,如果判断为不能解析的类型,则继续向左进行解析,如xx.php.wer.xxxxx将被解析为PHP类型。(2)第二种:局部配置 通过htaccess文件进行局部配置,定义不同文件名及后缀的解析方式。参考《【文件上传漏洞-06】.htaccess攻击实验(基于upload-labs-4靶场)》(1)加深理解Apache的两种解析漏洞原理; (2)掌握两种解析漏洞的检测及绕过方法。靶场:基于WAMP环境的...
Nginx解析漏洞测试
09-19
Nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作...默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持php的nginx服务器。
记一次Nginx解析漏洞复现--文件类型后门测试
Chris_HackFromCN的博客
08-24 609
Do what you said,say what you can do 做你说过的,说你能做的 目录 1.什么是解析漏洞 2.在没有解析漏洞的网站上传文件后门 3.在存在解析漏洞Nginx服务器上上传文件后门 4.总结 1.什么是解析漏洞解析漏洞是指服务器应用程序在解析某些精心构造的后缀文件时,会将其解析成网页脚本,从而导致网站沦陷的一种漏洞。 2.在没有解析漏洞的网站上传文件后门 (1)工具:phpstudy、火狐浏...
解决Nginx文件类型错误解析漏洞的方法(摘)
07-21 288
QZone Editor 80Sec 爆出Nginx具有严重的0day漏洞,详见《Nginx文件类型 错误解析漏洞》。只要用户拥有上传图片权限的Nginx+PHP服务器,就有被入侵的可能。 其实此漏洞并不是Nginx的漏 洞,而是PHP PATH_INFO的漏洞,详见:http://bugs.php.net/bug.php?id=50852&amp...
[转]再提供一种解决Nginx文件类型错误解析漏洞的方法
renziming的专栏
06-01 462
<br />本文转自:http://blog.s135.com/nginx_0day/<br />昨日,80Sec 爆出Nginx具有严重的0day漏洞 ,详见《Nginx文件类型 错误解析漏洞 》。只要用户拥有上传图片权限的Nginx+PHP服务器,就有被入侵的可能。<br />其实此漏洞 并不是Nginx的漏 洞,而是PHP PATH_INFO的漏洞 ,详见:http://bugs.php.net/bug.php?id=50852&edit=1<br />例如用户上传了一张照片,访问地址为htt
WEBSHELL姿势之nginx文件类型错误解析漏洞实例
forbidd3n,keep going
10-11 1801
关于nginx文件类型错误解析可参看我的上一篇文章 已知测试系统存在nginx文件类型错误解析漏洞,我们要找的就是一个图片上传点。 于是我们找一个回帖处的上传附件,这里先介绍一下制作木马图片 图片任取一张(有时不同格式的图片,可能运行有差异,jpg、png、gif都可以试试) 至于一句话木马,网上各种变异也很多,这里由于是测试,我们简单使用 在windows环境下,使用命令 c
Nginx漏洞解析及复现
最新发布
A526847的博客
06-05 2952
开启这一选项有什么用呢?看名字就知道是对文件路径进行“修理”。举个例子,当php遇到 文件路径“/aaa.xxx/bbb.yyy/ccc.zzz”时,若“/aaa.xxx/bbb.yyy/ccc.zzz”不存在,则会去掉最后的 “/ccc.zzz”,然后判断“/aaa.xxx/bbb.yyy”是否存在,若存在,则把“/aaa.xxx/bbb.yyy”当做文件 “/aaa.xxx/bbb.yyy/ccc.zzz”,若“/aaa.xxx/bbb.yyy”仍不存在,则继续去掉“/bbb.yyy”,以此类推。
如何在Linux宝塔6.0下搭建一个nginx服务器的全版本解析漏洞
rlenew的博客
10-20 337
前言 最近在搭建一个有关于宝塔的靶机,环境是利用docker并docker内安装最新的centos来模拟环境。由于下载了是根据网上的教程宝塔还有在维护的6.0版本,打开面版也阴差阳错的一键部署了推荐的lnmp环境即ngnix1.18.0,php5.6,MySQL 5.6.49,phpMyAdmin 4.4。 后来原计划是靶机已经找到上传漏洞点,但是在getshell方面却解析不了,于是反思到了可能是ngnix版本太高的缘故,但是在切换版本的时候意外重重。百度有的说是yum的问题,有的说是解析地址问题,更改了
Linux下Nginx 中文文件处理方法
纪敏强的博客
08-25 217
一、Windows中的文件编码为GBK编码,现在复制到Linux中,Linux使用的UTF-8编码,导至Nginx服务器读取不到,可以使用convmv修改文件编码: convmv命令详细参数 例如 convmv -f GBK -t UTF-8 *.mp3 不过这个命令不会直正的转换,你可以看到转换前后的对比。如果要直正的转换要加上参数 --notest convmv -f GBK -...
nginx反向代理配置成功,无法访问tomcat首页以及无法访问文件夹资源的原因以及解决办法
m0_37174080的博客
08-11 4568
原因在于你的系统中存在多个nginx进程,导致nginx代理的时候不知道是哪一个进程在执行。 解决办法:ctrl+alt+. 打开任务管理器,找到进程或者详细信息,将全部的nginx服务结束,然后进入ngin/tomcat目录,重新启动nginx/tomcat.。 ...
nginx浅析1-模块配置简介
bangbDIV的博客
07-20 183
nginx常用功能 api接口转发 反向代理 静态资源部署 1. events模块 (工作模式) events { worker_connections 1024; // 工作连接数 一般1024就好 } 2. http模块 (http配置) 2.1 upstream (负载均衡服务器设置) 2.2 server (主机设置) localtion (匹配url) include (再读取生效哪些子文件) http { // 设定文件mime类型, 类型在配置文件..
Windows平台下Nginx 1.26.0版本特性解析
1. 全局块:控制Nginx进程的工作模式、错误日志位置、进程数、用户和用户组等。 2. events块:配置Nginx如何处理连接。 3. http块:设置与HTTP相关的参数,可以嵌套多个server块来定义多个虚拟主机。 4. server块:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值