复现环境: vulhub docker —> nginx
一、错误配置导致的漏洞
1、CRLF注入漏洞
漏洞原理:
CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a。在HTTP协议中,HTTP header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。CRLF漏洞常出现在Location与Set-cookie消息头中。
Nginx在配置HTTP请求强制跳转到HTTPS时,会返回一个302和跳转路径如下图:攻击者则可以注入一个CLRF符号来重新控制HTTP头的内容或者HTTP body的内容。
漏洞复现:
-
访问一个http页面,进行抓包。
-
注入CLRF符号,并且设置一段XSS代码
-
注入CRLF符号,自定义cookie内容。
2、目录穿越漏洞
漏洞原理:
如果nginx在配置目录别名(Alias)时,忘了在别名后加“/",就会造成目录穿越漏洞,能被利用来读取web目录以外的文件。如果要修复的话,在别名后面添加上“/”就可以了。
漏洞复现:
- 访问nginx站点(此处为默认站点)的files目录,使用burpsuite抓包。
- 访问files…/,如果返回目录信息,说明存在目录穿越漏洞。
3、add_header覆盖
Nginx配置文件子块(server、location、if)中的add_header,将会覆盖父块中的add_header添加的HTTP头,造成一些安全隐患。
如下面的代码,在父块中添加了CSP头,在子块中也添加了新的CSP头:
add_header Content-Security-Policy "default-src 'self'";
add_header X-Frame-Options DENY;
location = /test1 {
rewrite ^(.*)$ /xss.html break;
}
location = /test2 {
add_header X-Content-Type-Options nosniff;
rewrite ^(.*)$ /xss.html break;
}
其中,在test1中访问,CSP头使用的是父块的CSP,而访问test2后,CSP头则是使用的子块定义的:
二、解析漏洞
1、漏洞简介
该漏洞与nginx、php版本无关,属于用户配置不当造成的解析漏洞
假如用户上传了shell.jpg,但是当用户访问/shell.jpg/shell.php时会将shell.jpg按照php文件进行解析。
漏洞原理:
-
由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理:
-
当fastcgi在处理’.php’文件时发现文件并不存在,这时php.ini配置文件中cgi.fix_pathinfo=1 发挥作用,这项配置用于修复路径,如果当前路径不存在则采用上层路径。为此这里交由fastcgi处理的文件就变成了’/test.png’。
-
最重要的一点是php-fpm.conf中的security.limit_extensions配置项限制了fastcgi解析文件的类型(即指定什么类型的文件当做代码解析),此项设置为空的时候才允许fastcgi将’.png’等文件当做代码解析。
2、漏洞复现
-
准备一张图片马,用于验证漏洞。
-
通过上传功能传入该木马,拿到文件地址:
-
在浏览器访问"图片.jpg/xxx.php",成功执行php代码。
3840
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
