【vulhub】Nginx错误配置导致的漏洞

最新推荐文章于 2024-09-22 15:06:10 发布
最新推荐文章于 2024-09-22 15:06:10 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: vulhub 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45300786/article/details/115957872
版权

运行测试环境

docker-compose up -d

运行成功后,Nginx将会监听8080/8081/8082三个端口,分别对应三种漏洞。

1.CRLF注入漏洞

漏洞介绍:CRLF是“\r\n”的简称,即回车+换行的意思。在HTTP协议里,http头部和http正文是用两个CRLF分割的,恶意的注入http返回包头部,即是CRLF注入漏洞。这也叫HTTP Response Splitting ,简称HRS。

漏洞复现:这里搭建了一个简单的靶机环境,错误配置示例如下,传入的 %oa%0d 会被uri解码为 \r\n 。

  location / {
    return 302 https://$host$uri;
}

http://192.168.100.23:8080/%0a%0dSet-Cookie:%20hahahah_caocaocao

在这里插入图片描述

http://192.168.100.23:8080/%0a%0d%0a%0dxxxx2233

也可以注入%0a%0d%0a%0dxxxx,插入正文到返回正文中,但这里我没有弹框,因为环境中重定向的https://host 没有被定义。
这里有一个新浪的CRLF利用实例参见:https://www.leavesongs.com/PENETRATION/Sina-CRLF-Injection.html
在这里插入图片描述

2. 目录穿越漏洞

Nginx在配置别名(Alias)的时候,如果忘记加/,将造成一个目录穿越漏洞。

错误的配置文件示例(原本的目的是为了让用户访问到/home/目录下的文件):

location /files {
	alias /home/;
}

Payload: http://your-ip:8081/files…/ ,成功穿越到根目录
在这里插入图片描述
漏洞原理:

  1. add_header是headers模块中定义的一个指令,用来添加http响应头部。格式如:add_header Cache-Control no-store

  2. nginx是分层级组织的,每层可以有自己的指令,子块继承父块的配置;但对于相同指令,子块的配置可以覆盖掉父块的配置。

  3. Content Security Policy,简称CSP,内容安全策略,来限制网站是否可以包含某些来源内容,来预防一些注入漏洞,如XSS;

  4. 在上图错误示例中,server块配置为:

add_header Content-Security-Policy “default-src ‘self’”; ===> 使页面只能加载同源资源,且禁止内联代码执行。

add_header X-Frame-Options DENY; ===>   使页面中不能被放在iframe框架中,避免被用作点击劫持。

但是location = /test2 子块中,add_header 被重新配置了,这个会覆盖父块的配置,所以在/test2 页面下没有做安全限制。

以上内容是提取出来与此漏洞有关的,要详细了解的请参见:

add_header :https://www.jb51.net/article/156230.htm

csp:http://www.mamicode.com/info-detail-2440203.html

x-frame-options:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options

server {
    ...
    add_header Content-Security-Policy "default-src 'self'";
    add_header X-Frame-Options DENY;
    
    location = /test1 {
    	rewrite ^(.*)$ /xss.html break;
    }
    
    location = /test2 {
	    add_header X-Content-Type-Options nosniff;
	    rewrite ^(.*)$ /xss.html break;
    }
}

3. add_header被覆盖

Nginx配置文件子块(server、location、if)中的add_header,将会覆盖父块中的add_header添加的HTTP头,造成一些安全隐患。

如下列代码,整站(父块中)添加了CSP头:

a

dd_header Content-Security-Policy "default-src 'self'";
add_header X-Frame-Options DENY;

location = /test1 {
    rewrite ^(.*)$ /xss.html break;
}

location = /test2 {
    add_header X-Content-Type-Options nosniff;
    rewrite ^(.*)$ /xss.html break;
}

但/test2的location中又添加了X-Content-Type-Options头,导致父块中的add_header全部失效:XSS可被触发。

感觉这个配置漏洞就第一点造成XSS和第二点造成目录遍历有用一点,其他感觉没啥

参考文章:
详细原理可以看这篇文章《nginx配置错误导致的漏洞》
https://www.cnblogs.com/HelloCTF/p/14096781.html
https://www.cnblogs.com/foe0/p/11393503.html

樱浅沐冰
关注
专栏目录
(Nginx 配置错误导致漏洞) and (nginx文件解析漏洞)
alert['Hello World']
03-09 465
目录0x00 CRLF注入漏洞0x01 目录穿越漏洞0x02 add_header被覆盖0x03 nginx文件解析漏洞 0x00 CRLF注入漏洞 CRLF注入漏洞原理 0x01 目录穿越漏洞 Nginx配置别名(Alias)的时候,如果忘记加/,将造成一个目录穿越漏洞错误配置文件示例(原本的目的是为了让用户访问到/home/目录下的文件): location /files { alias /home/; } Payload: http://your-ip:8081/files…/ ,成功穿越到根
五个常见的 Nginx 配置错误
千锋教育
11-18 2580
Volema发现,在Nginx配置中创建重定向时经常会使用document_uri包含标准化的 URI,而 Nginx 中的normalization包括对 URI 解码的 URL。Volema 发现,在 Nginx 配置中创建重定向时经常会使用documentu​ri包含标准化的URI,而Nginx中的normalization包括对URI解码的URL。这是 Nginx 创建的“陷阱和常见错误”文档中提到的,在许多 Nginx 配置中都常见的错误。在某些情况下,用户提供的数据可以视为 Nginx 变量。
Nginx 配置错误导致漏洞
qq_68163788的博客
11-24 1040
ngixn错误配置导致漏洞在Docker中,NGINX常常被用作Web应用的代理服务器或负载均衡器。通过Docker,可以快速部署和管理NGINX容器,实现灵活的扩展和配置
nginx常见漏洞解析_nginx漏洞
最新发布
2401_87298532的博客
09-22 1686
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头中,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
Nginx 配置错误导致漏洞 (insecure-configuration)
qq_58000413的博客
09-23 3085
说白了就是当url中匹配到 /files 的时候就自动替换为 /home/ ,假设我们url中是 /files../ 的话,那么 /files 首先替换为 /home/ 后面还有 ../ 则拼接上去,最后的结果就为 /home/../ c从而访问的是home的上一层目录,就是根目录。当我们点击里面的路径的时候,例如/home/文件夹,发现里面只有一个help.txt文件,并不是像我们主机里那么多的文件,其原因也很简单,因为我们没有权限访问。
Nginx 配置错误导致漏洞
qq115399231的博客
07-31 600
CRLF注入漏洞 CRLF是”回车 + 换行”(\r\n)的简称,即我们都知道在HTTP协议中,HTTP Header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来提取HTTP 内容 一旦我们能够控制http头,通过注入一些CRLF这样就可以控制header和body的分割线,这样我们就可以向body或是header中注入些东西了。所以CRLF Injection又叫H...
Nginx漏洞—解析漏洞配置不当和(CVE-2013-4547)
今天也要加油鸭
03-06 6668
CVE-2013-4547是Nginx目录跨越及代码执行漏洞,也被成为文件名逻辑漏洞。 涉及版本:Nginx 0.8.41~1.4.3 / 1.5.0<=1.5.7 漏洞原理: 这个漏洞虽然也被称为代码执行漏洞,但跟代码执行没有太大关系,主要是由于非法的字符空格和截止符(\0)导致Nginx解析URI时的有限状态机混乱,攻击者通过一个非编码的空格绕过后缀名限制,导致出现权限绕过,代码执行等影...
漏洞复现之Nginx配置漏洞
Blood_Pupil的博客
03-16 2355
上述各配置漏洞对应的造成漏洞配置信息如下: CLRF #nginx.conf location / { return 302 https://$host$uri; } 目录遍历 #nginx.conf autoindex on; 目录穿越 #nginx.conf location /files { alias /home/; } add_h...
CVE-2017-7529 Nginx越界读取内存漏洞
mirocky的博客
10-13 835
CVE-2017-7529漏洞复现
vulhub漏洞复现44_Nginx
weixin_44193247的博客
02-10 1481
vulhub漏洞复现练习篇
vulhub漏洞复现-Nginx
遇事不决冲冲冲
10-28 4956
Nginx nginx是一个高性能的HTTP和反向代理web服务器。 思路 在关闭了pathinfo的情况下,只有.php后缀的文件才会被发送给fastcgi解析。 而存在CVE-2013-4547的情况下,我们请求1.gif[0x20][0x00].php,这个URI可以匹配上正则\.php$,可以进入这个Location块;但进入后,Nginx错误地认为请求的文件是1.gif[0x20],就设置其为SCRIPT_FILENAME的值发送给fastcgi,而Fastcgi根据SCRIPT_FILENAM
Vulhub:CRLF注入漏洞insecure-configuration
weixin_68416970的博客
07-30 2129
一旦我们能够控制HTTP 消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码,所以如果用户的输入在HTTP返回包的Header处回显,便可以通过CRLF来提前结束响应头,在响应内容处注入攻击脚本。我们可以通过控制信息头的字符来注入一些恶意代码,如实现注入 cookies 和 html代码,而 CRLF 漏洞可以造成Cookie会话固定漏洞和反射型XSS(可过waf)的危害,且主要是设置任意的响应头,控制响应正文这两种主要的利用办法。会话固定也是会话劫持的一种类型。
nginx配置错误导致漏洞
yumengzth的博客
08-04 3413
0x00 运行环境 ubuntu进入/vulhub-master/nginx/insecure-configuration目录 执行以下命令,运行环境。 docker-compose up -d 运行成功后,Nginx将会监听8080/8081/8082三个端口,分别对应三种漏洞。 0x01 CRLF注入漏洞 1.前提 下面两种跳转情景十分常见: 1. 用户访问http://example.co...
CRLF漏洞靶场记录
墨痕诉清风的博客
01-12 226
Payload: `http://your-ip:8080/%0d%0aSet-Cookie:%20a=1`,可注入Set-Cookie头。Nginx会将`$uri`进行解码,导致传入%0d%0a即可引入换行符,造成CRLF注入漏洞。进入 /vulhub/nginx/insecure-configuration 目录。启动前关闭现有的 8080、8081、8082 端口服务,避免端口占用。利用 docker 搭建 vulhub 靶场。
CRLF注入漏洞原理
yggcwhat
01-15 636
目录 漏洞原理 换行符、回车符 漏洞环境搭建 漏洞利用讲解 修改会话值 其他漏洞 反射形xss 漏洞加固 参考链接 漏洞原理  CRLF注入漏洞又称HTTP响应拆分漏洞(HTTP Response Splitting),攻击方式是将回车符、换行符注入到HTTP的响应包中。   HTTP响应包通常以两个换行符,去划分响应头与响应正文两个部分。当用户的操作足以控制响应头的内容时,将会出现CRLF漏洞。 换行符、回车符 回车符(CR,ASCII 13,\r,%0
vulhub漏洞复现51_PHP
weixin_44193247的博客
02-11 986
vulhub漏洞复现练习篇
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值