Nginx 解析漏洞
漏洞原因:该漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞。
如果我们上传了一个1.jpg文件,但是访问的是/1.jpg/.php那么fastcgi在处理".php"文件时发现文件并不存在,这时php.ini配置文件中cgi.fix_pathinfo=1 发挥作用,采用上层路径。为此这里交由fastcgi处理的文件就变为了test.png。
漏洞形成要求:
1.php.ini配置文件中cgi.fix_pathinfo=1
2.
3.php-fpm.conf中的security.limit_extensions配置项没有进行限制fastcgi解析文件的类型。
此项选项为空代表fastcgi将可以将.jpg等文件当做代码解析。
如果设置为如下:
security.limit_extensions = .php
那么此漏洞将无法造成。此设置的意思为只可以将以php结尾的文件当作php文件解析执行。
漏洞演示:
漏洞环境:vulhub docker
启动环境是一个上传页面:
进入docker查看index.php文件内容,定义了一个白名单只可以上传jpg文件,并对文件名进行了md5重明白(代表了CVE-2013-4547漏洞失效):
因为经过了getimagesize()函数验证所以我们上传一个以内容GIF89A开头的写了phpinfo的jpg文件:
上传成功后进行恶意访问/uploadfiles/f3ccdd27d2000e3f9255a7e3e2c48800.jpg/wa1ki0g.php:
成功执行phpinfo