nginx_host绕过

最新推荐文章于 2024-05-01 09:22:26 发布
最新推荐文章于 2024-05-01 09:22:26 发布
阅读量1.7k 收藏
点赞数
分类专栏: 安全 文章标签: nginx php 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63069714/article/details/128943746
版权

目录

一、LNMP环境搭建

1、nginx的基础配置

2、将域名与IP映射的关系添加到hosts文件

3、上传pwnhub文件

4、给/usr/local/nginx/html/xjl/protected/tmp赋予权限

二、配置数据库MySQL

1、首先连接MySQL

2、创建数据库以及创建表

3、给表中插入数据

三、FILTER_VALIDATE_EMAIL 绕过

四、nginx配置自定义证书---ssl模块

1、配置证书

2、nginx配置ssl模块

五、绕过nginx host限制

第一种处理方法---冒号分隔host字段

第二种处理方法---双host字段绕过(nginx低版本可用,高版本不在适用)

低版本测试(可用)

高版本测试(不可用)

第三种处理方法---利用SNI机制进行绕过

一、LNMP环境搭建

1、nginx的基础配置

对nginx的配置文件进行配置

# vim /usr/local/nginx/conf/nginx.conf

配置内容如下

server {
        listen       80;
        server_name  www.xjl.com;
        root         /usr/local/nginx/html/xjl/web;
        index index.php index.html;
        access_log  logs/host.access.log  main;

        location / {
        try_files $uri $uri/ /index.php;
        }

        location ~ \.php$(.*)$ {
            fastcgi_pass   127.0.0.1:9000;
           fastcgi_index  index.php;
            fastcgi_split_path_info  ^((?U).+\.php)(/?.+)$;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            fastcgi_param  PATH_INFO  $fastcgi_path_info;
            fastcgi_param  PATH_TRANSLATED  $document_root$fastcgi_path_info;
            include        fastcgi_params;
        }

    }

2、将域名与IP映射的关系添加到hosts文件

192.168.75.139 www.xjl.com

启动nginx

# cd /usr/local/nginx/sbin
# ./nginx -s reload

3、上传pwnhub文件

检测

4、给/usr/local/nginx/html/xjl/protected/tmp赋予权限

# chmod 777 /usr/local/nginx/html/xjl/protected/tmp

再次测试

 

二、配置数据库MySQL

1、首先连接MySQL

# mysql -uroot -proot

2、创建数据库以及创建表

CREATE DATABASE sercuity;

SET NAMES utf8;
SET FOREIGN_KEY_CHECKS = 0;

DROP TABLE IF EXISTS `flags`;
CREATE TABLE `flags` (
  `id` INT(10) UNSIGNED NOT NULL AUTO_INCREMENT,
  `flag` VARCHAR(256) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=INNODB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4;

DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (
  `id` INT(10) UNSIGNED NOT NULL AUTO_INCREMENT,
  `username` VARCHAR(256) NOT NULL,
  `password` VARCHAR(32) NOT NULL,
  `email` VARCHAR(256) DEFAULT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `username` (`username`)
) ENGINE=INNODB AUTO_INCREMENT=15 DEFAULT CHARSET=utf8mb4;

SET FOREIGN_KEY_CHECKS = 1;

 

3、给表中插入数据

insert into flags(flag) vlaues (i love you);

三、FILTER_VALIDATE_EMAIL 绕过

早在当初PHPMailer的CVE-2016-10033就提到过。 RFC 3696规定,邮箱地址分为local part和domain part两部分。local part中包含特殊字符,需要如下处理

  1. 将特殊字符用\转义,如Joe\'Blow@example.com

  2. 或将local part包裹在双引号中,如"Joe'Blow"@example.com

  3. local part长度不超过64个字符

虽然PHP没有完全按照RFC 3696进行检测,但支持上述第2种写法。所以,我们可以利用之绕过FILTER_VALIDATE_EMAIL 的检测。

因为代码中邮箱是用户名、@、Host三者拼接而成,但用户名是经过了转义的,所以单引号只能放在Host中。我们可以传入用户名为",Host为nameis'"@xjl.com ,最后拼接出来的邮箱为"@nameis'"@xjl.com,这个邮箱是合法的,这个邮箱包含单引号,将闭合SQL语句中原本的单引号,造成SQL注入漏洞。

# cat web.php 
<?php
$email = '"nameis\'"@xjl.com';
var_dump(filter_var($email, FILTER_VALIDATE_EMAIL));

四、nginx配置自定义证书---ssl模块

1、配置证书

创建ca文件存放证书密钥文件

# mkdir /usr/local/nginx/ca
# cd /usr/local/nginx/ca

 生成私钥以及证书的请求文件

# openssl genrsa -des3 -out ssl.key 4096
# openssl req -new -key ssl.key -out ssl.csr

最终生成crt证书文件

# openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt

 

2、nginx配置ssl模块

1.判断是否具有ssl模块 --- 输出含有configure arguments: --with-http_ssl_module
/usr/local/nginx/sbin/nginx -V

#2.移动到nginx源码解压目录
./configure --with-http_ssl_module

#3.编译执行
make

#4.备份原有已安装好的nginx
cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak

#5.然后将刚刚编译好的nginx覆盖掉原有的nginx(这个时候nginx要停止状态)
cp ./objs/nginx /usr/local/nginx/sbin/

#6.测试查看
[root@192 sbin]# ./nginx -V
nginx version: nginx/1.22.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) 
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --with-http_ssl_module

#7.对nginx配置文件进行配置ssl
   server {
        listen       443 ssl;
        server_name  www.xjl.com;
        root         /usr/local/nginx/html/xjl/web;
        index index.php index.html;

        ssl_certificate      /usr/local/nginx/ca/ssl.crt;
        ssl_certificate_key  /usr/local/nginx/ca/ssl.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;
   }

 

五、绕过nginx host限制

尝试向目标注册页面发送刚才构造好的用户名和Host

直接显示404,为什么呢?似乎没有被php处理。

Host头究竟是干什么用的?

Host作用:用来区分用户访问的究竟是哪个网站(Nginx中就是Server块)

如果Nginx发现我们传入的Host找不到对应的Server块,将会发送给默认的Server块,也就是我们通过IP地址直接访问的那个Nginx默认页面 ,默认网站并没有/main/register这个请求的处理方法,所以自然会返回404。

第一种处理方法---冒号分隔host字段

Nginx在处理Host的时候,会将Host用冒号分割成hostname和port,port部分被丢弃。所以,我们可以设置Host的值为www.xjl.com:'"example.com ,这样就能访问到目标Server块

第二种处理方法---双host字段绕过(nginx低版本可用,高版本不在适用)

当我们传入两个Host头的时候,Nginx将以第一个为准,而PHP-FPM将以第二个为准。

我以如下方式传入

Host: www.xjl.com
Host: aaa'"@example.com

Nginx将认为Host为www.xjl.com,并交给目标Server块处理;但PHP中使用$_SERVER['HTTP_HOST'] 取到的值却是aaa'"@example.com。

低版本测试(可用)

用上述方式可以进行绕过

高版本测试(不可用)

用上述方式则无法进行绕过

第三种处理方法---利用SNI机制进行绕过

其实原理就是,我们在发送https数据包的时候,SNI中指定的域名是example2.com,而无需和HTTP报文中的Host头保持一致,Nginx会选择SNI中的域名作为Server Name。

 此时我们在Burpsuite里修改协议为https,并指定好https的Host,也就是SNI

我们再修改HTTP数据包的Host头,就能正常访问目标后端了

努力学IT的小徐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Nginx反向代理详解
weixin_67589420的博客
01-21 4278
当你需要通过 Nginx 来代理自己的端口时,你就像打开了一扇大门,让你的应用程序能够以更安全、更高效的方式与外部世界进行通信。Nginx 是一个强大的开源反向代理服务器,它可以帮助你实现负载均衡、缓存加速、SSL 终止和许多其他功能。在本篇博客中,我将向你展示如何使用 Nginx 来代理自己的端口。我们将探索如何配置 Nginx,使其成为一个可靠的中间层,将外部请求转发到你的应用程序运行的特定端口上。通过设置适当的代理规则,你可以轻松地实现域名映射、请求转发和负载均衡,同时保持应用程序的安全性和稳定性。
host文件nginx代理 综合理解
Beatingworldline的博客
04-11 435
之前一直理解得很糙 导致遇到问题很迷糊 今天经过大佬两句话讲明白了 特此记录。
2024年最新Nginx常用屏蔽规则,让网站更安全(1)
最新发布
2401_84302816的博客
05-01 324
性能调优、Spring,MyBatis,Netty源码分析和大数据等多个知识点高级进阶干货的直播免费学习权限 都是大牛带飞 让你少走很多的弯路的 群号是:571617441对了 小白勿进 最好是有开发经验。比如网站上传目录,通常存放的都是静态文件,如果因程序验证不严谨被上传木马程序,导致网站被黑。以下规则请根据自身情况改为您自己的目录,需要禁止的脚本后缀也可以自行添加。如果经常分析网站日志你会发现,一些奇怪的UA总是频繁的来访问网站,而这些UA对网站收录毫无意义,反而增加服务器压力,可以直接将其屏蔽。
Nginx 配置解决host头攻击漏洞
热门推荐
如果说你每一步都细心的话,其实你的效率是很快的
10-30 1万+
nginx配置拦截访问域名
sunsijia21983的博客
08-11 2487
blocked:请求头Referer字段不为空(即存在Referer),但是值被代理或者防火墙删除了,这些值不以“http://”或“https://”开头,通俗点说就是允许“http://”或"https//"以外的请求。指定合法的来源'referer', 他决定了内置变量$invalid_referer的值,如果referer头部包含在这个合法网址里面,这个变量被设置为0,否则设置为1. 需要注意的是:这里并不区分大小写的.none:请求头缺少Referer字段,即空Referer。
技术分享|由于Nginx配置不当而导致内网资产暴漏
baidu_38876334的博客
03-30 670
当前有部分企业通常会在外网部署一些Nginx服务器,然后在Nginx中配置域名绑定。用户访问对应的域名,Nginx通过反向代理将对应的内网资源反馈给互联网上的用户,这样企业可以把服务器部署在自己的内网中,又可以让用户访问到一举两得。但是如果配置不当的话,一些不应该让用户访问到的资源,用户通过特殊的手段也可以访问到。运维人员无意中犯了一个错误,他把内网的管理系统和业务系统都用同一台nginx服务器进行反向代理,且这台服务器外网用户可以直接访问到。为了方便企业员工办公,运维人员同样给管理系统绑定了域名。
ngx_http_proxy_connect_module.zip
06-17
使用该模块需要注意一些安全问题,因为透明代理可能被滥用为攻击跳板或绕过防火墙策略。为了安全起见,应限制可以连接的主机和端口,例如只允许连接到特定的IP地址或端口范围。此外,开启日志记录,监控代理服务的...
nginx cache 学习总结 1
08-03
例如,可以使用 `$cookie_nocache` 或 `$arg_nocache` 来决定是否绕过缓存。 3. **proxy_cache_key**: - `proxy_cache_key string;` 指令用于定义缓存条目的键,这决定了如何将请求映射到缓存中的数据。默认键...
nginx-1.25.1(ngx-http-proxy-connect-module插件)windows版本
08-31
这个模块对于那些希望在Nginx后面部署SSL终止或者需要绕过某些网络限制的情况非常有用。 在Windows环境下安装Nginx 1.25.1并启用ngx_http_proxy_connect_module,你需要按照以下步骤操作: 1. **下载源码**:首先...
https通信nginx反向代理443端口
11-27
proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } ``` 3. **配置...
nginx解决前后分离开发跨域问题
01-15
为了解决这个问题,我们可以利用Nginx作为反向代理服务器,将前端的请求转发到后端服务,从而绕过跨域限制。 Nginx是一款高性能、轻量级的HTTP和反向代理服务器,因其强大的负载均衡能力和高效的性能而广泛应用于...
nginxhosts配置
qq_49644567的博客
09-10 2020
nginx.conf(nginx/conf/nginx.conf) server { listen 80; //网络路径 server_name image.jt.com; location / { //本地路径 root D:/images; } } hosts(C:/Windows/System32/drivers/etc/hosts) //图片服务器配置 127.0.0.1 image.jt.com //前端服务器配置 127.0.0.1 www.
防止绕过nginx直接访问tomcat
指弹新手
01-05 5304
防止绕过nginx直接访问tomcat这周我在阿里云配置nginx的时候,发现居然可以绕过nginx直接访问tomcat,这样就会使nginx上面的一些配置失效,造成程序的bug,比如配置的负载均衡,如果一直通过ip+端口来访问就会使负载均衡失去意义。再比如在项目中使用的nginx配置好的静态资源路径会失去效果,造成排版混乱、无法加载等一些问题。通过一定的研究终于找到了问题的所在。接下来我们就通过n
安全基础第十二天:nginx相关配置和nginx-host绕过
weixin_62870380的博客
05-15 1121
nginx的动静分离,nginx的缓存,以及缓存投毒漏洞复现,docker-compose在centos下存在的问题。
Windows系统下载安装Nginx以及host文件的介绍
xiaochen的博客
06-29 808
Nginx功能丰富,可作为HTTP服务器,也可作为反向代理服务器,邮件(IMAP/POP3)代理服务器。Nginx占用内存少,并发能力强。Nginx下载地址:http://nginx.org/en/download.html 这里选择了Windows的1.19.4版本 下载完成后解压压缩包 接下来测试一下是否能正常运行 双击打开或者根目录输入cmd打开输入命令,会发现有个窗口闪一下 nginx启动后,会多出两个进程,其中占内存大的为主进程,主要为用户提供反向代理服务;其中占内存小的为守护进程,是为了主进程意
Nginx解决Host头注入
计算机辅助工程
03-10 1424
#未作修改的nginx配置,此配置会产生Host头注入问题 upstream web { server 192.168.52.22:9092; server 192.168.52.23:9093; } server { listen 8082; server_name 192.168.52.22; location / { proxy_set_header Host $http_host;
配置Nginx反向代理时配置hosts文件不起作用
weixin_44712874的博客
10-28 2292
原因:设备上的 hosts 出问题,电脑无法正常解析 解决方法:在网上找一个可用的hosts文件进行替换 hosts文件在/private/etc/hosts路径中,输入sudo vi /private/etc/hosts修改文件,将配置信息添加进去即可。 ...
Nginx+SwitchHosts实现域名访问
金豆呀的博客
03-01 1823
SwitchHosts 1. SwitchHosts的安装: 分享安装链接:https://blog.csdn.net/n950814abc/article/details/81327898 2. SwitchHosts的作用: SwitchHosts帮助我们管理hosts文件,完成IP和域名的映射. 3. 效果展示: 问题:域名替换了IP,但端口号还...
nginx下的站点配置(端口和hosts)两种模式
u010414652的博客
09-18 6123
一般默认是80端口,以hosts模式配置多站点可以设置如下: server {      listen       80;      server_name   allwood-com.cn;      root   "D:/phpStudy/WWW/allwood-com";      charset     utf-8;      index       index.php ind
docker上部署的nginx检测到目标URL存在http host头攻击漏洞怎么修复
06-12
HTTP Host头攻击漏洞是一种常见的网络漏洞,攻击者可以通过篡改Host头来绕过服务器的安全措施,访问非法的资源。如果你的Docker容器中的Nginx检测到目标URL存在这种漏洞,你可以采取以下措施修复: 1. 在Nginx配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

努力学IT的小徐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值