Nginx 解析漏洞

已于 2023-05-28 15:38:14 修改
阅读量1k 收藏 6
点赞数 2
分类专栏: Web安全 文章标签: nginx 运维 web安全
于 2023-05-28 15:16:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46081990/article/details/130912384
版权

文章目录

0x01 漏洞原理

该漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞。

这里我们先上传一句话木马 webshell.jpg,然后构造 http://your-ip/uploadfiles/webshell.jpg/1.php 去访问它,发现其被当作 PHP 文件解析。

这是由于 Nginx 把以 .php 结尾的文件交给 fastcgi 处理,但 fastcgi 处理的时候发现并没有这个文件,于是 fastcgi 会继续向上查找,然后找到了上级文件 .jpg,于是就把 .jpg 当作 PHP 文件处理,导致漏洞产生。

问题一:为什么 fastcgi 会向上查找?
这是因为 PHP 配置文件 php.ini 中 cgi.fix_pathinfo=1,这项配置用于修复路径,如果当前路径不存在则采用上层路径。

问题二:为什么 fastcgi 会把 jpg 文件当作 PHP 文件解析?
这是因为 php-fpm.conf 的配置项 security.limit_extensions 限制了 fastcgi 解析文件的类型。此项设置为空时,fastcgi 会将 jpg 等文件当做 PHP 代码解析。

0x02 漏洞环境

# cd vulhub/nginx/nginx_parsing_vulnerability/
# docker-compose up -d
# docker-compose ps

               Name                              Command               State                    Ports                  
-----------------------------------------------------------------------------------------------------------------------
nginx_parsing_vulnerability_nginx_1   /docker-entrypoint.sh ngin ...   Up      0.0.0.0:443->443/tcp, 0.0.0.0:80->80/tcp
nginx_parsing_vulnerability_php_1     docker-php-entrypoint /bin ...   Up      9000/tcp

0x03 漏洞复现

分析文件上传页面 index.php 源码

发现其使用了 getimagesize 函数检查所上传的文件是否为图片,并且检查 MIME 类型,然后再白名单检查后缀名,最后重命名后上传。
那么我们就不能上传由 webshell.php 直接改名 webshell.jpg 的文件,而是应该上传图片马才行。

# cat /root/vulhub/nginx/nginx_parsing_vulnety/www/index.php
<?php

if (!empty($_FILES)):

// Check for errors
if($_FILES['file_upload']['error'] > 0){
    die('An error ocurred when uploading.');
}

if(!getimagesize($_FILES['file_upload']['tmp_name'])){
    die('Please ensure you are uploading an image.');
}

// Check filetype
if(stripos($_FILES['file_upload']['type'], 'image/') !== 0){
    die('Unsupported filetype uploaded.');
}

// Check filesize
if($_FILES['file_upload']['size'] > 500000){
    die('File uploaded exceeds maximum upload size.');
}

// Check filesize
if(!is_uploaded_file($_FILES['file_upload']['tmp_name'])) {
    die('File is not uploaded file');
}

$ext = pathinfo($_FILES['file_upload']['name'], PATHINFO_EXTENSION);
if (!in_array($ext, ['gif', 'png', 'jpg', 'jpeg'])) {
    die('Unsupported filetype uploaded.');
}


$new_name = __DIR__ . '/uploadfiles/' . md5($_FILES['file_upload']['name']) . ".{$ext}";
if(!move_uploaded_file($_FILES['file_upload']['tmp_name'], $new_name)){
    die('Error uploading file - check destination is writeable.');
}

die('File uploaded successfully: ' . $new_name);

else:
?>
<form method="post" enctype="multipart/form-data">
    File: <input type="file" name="file_upload">
    <input type="submit">
</form>
<?php
endif;

成功上传图片马 webshell.jpg,页面返回了上传路径。
在这里插入图片描述

构造 http://192.168.1.103/uploadfiles/85bb6e49a1be4be02eefb660f9d8cf68.jpg/1.php 去访问它,发现其被当作 PHP 文件解析。
在这里插入图片描述

0x04 漏洞修复

1、 将 php.ini 文件中的配置项 cgi.fix_pathinfo 的值设置为 0,这样 PHP 解析 webshell.jpg/1.php 这样的目录时,只要 1.php 不存在就会显示404页面。

2、将 php-fpm.conf 中的 security.limit_extensions 后面的值设置为 .php,限制 fastcgi 解析文件的类型仅为 .php,无法解析其他类型。
在这里插入图片描述
重启环境

# docker-compose restart

重新访问 http://192.168.1.103/uploadfiles/85bb6e49a1be4be02eefb660f9d8cf68.jpg/1.php,发现提示拒绝访问,漏洞被修复。
在这里插入图片描述

Ch4ser
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx解析漏洞测试
09-19
Nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持php的nginx服务器。
nginx常见漏洞解析_nginx漏洞(2),2024年最新【一篇文章搞懂
最新发布
2401_84181340的博客
04-10 1511
中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。但是在开发使用过程中也不乏官方程序自身的一些安全问题。我们在处理应急响应事件时经常遇到这么一种情况,客户网站代码是外包的,也就是第三方公司负责开发,而部署可能是由客户内部运维人员负责。暂不说他们对于中间件安全的重视程度与了解程度,只谈发现漏洞后如何处理,便是一团乱。开发商推卸说这并不是代码上的问题,他们完全是按照安全开发流程(SDL)走的,所以跟他无关。
nginx文件解析漏洞
大方子
07-27 4035
文件解析漏洞 目标环境 win2003(x64) PHPstudy2016 nginx 复现过程 先写一个上传的网页 upload.html <!DOCTYPE html> <html> <head> <title>File Upload</title> </head&g...
Nginx文件解析漏洞
weixin_59872639的博客
02-23 4877
环境搭建 配置方法 安装docker yum -y install docker 启动docker systemctl start docker 使用docker拉取ubuntu:14.04.5镜像 docker pull ubuntu:14.04.5 使用docker启动镜像 ubuntu:14.04.5 docker run -d -it -p 本机端口:80 ubuntu:14.04.5 安装相关环境 apt-get update # 更新源 apt-get insta
Nginx-文件解析漏洞
weixin_45095113的博客
07-30 3162
关于Nginx服务器的一些漏洞-文件解析漏洞
nginx0.8.15解析漏洞拿下某空间的图片服务器1
08-08
随便点了个图片路径上去,发现是nginx/0.8.15,想起解吸漏洞,简单测试是存在的,所以就注册用户看是否可以上传!注册用户,可以上传图片,但是检测文件头,所
在PHP中使用FastCGI解析漏洞及修复方案
01-20
Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。当访问http://huoche.7234.cn/images/jb51/jxpmrseidpt.jpg/1.php这个URL时,$fastcgi_script_name会被设置...
CentOS7将Nginx添加系统服务的方法步骤
01-20
导语 ...在 /usr/lib/systemd/system 目录中添加 nginx.service,根据实际情况进行修改,详细解析可查看下方参考资料中的文章。内容如下 [Unit] Description=nginx - high performance web server
Nginx文件解析漏洞详解
永远是少年
10-08 2060
今天继续给大家介绍渗透测试相关知识,本文主要内容是Nginx文件解析漏洞详解。 一、漏洞简介 二、Vulhub漏洞环境搭建 三、漏洞实战
文件上传:Nginx解析漏洞
zh的博客
10-12 528
靶场地址:http://www.whalwl.site:8020/ 解题准备:了解Nginx解析漏洞 解题思路: 1、准备测试图片马 首先做一个图片phpinfo(), .jpg上传成功,返回上传后的图片地址 uploadfiles/b5f7a062d84869fe4f3af35b79fca50c.jpg 2、浏览器访问图片地址,证明文件确实存在 3、根据Nginx解析漏洞,在地址后面添加/1.php,成功执行 4、同理上传一句话图片马。 5、地址后面添加/.php,...
nginx常见漏洞解析
热门推荐
qtttgeq的博客
04-06 1万+
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头中,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
Nginx系列之解析漏洞
weixin_51692662的博客
08-16 1280
菜鸟浅谈Nginx解析漏洞
nginx中间件解析漏洞的影响
06-10
Nginx 中间件解析漏洞是指攻击者利用 Nginx 中间件解析漏洞,通过构造恶意请求,从而绕过服务器的安全措施并执行任意代码。这种漏洞可以允许攻击者在服务器上执行任意的系统命令、读取、修改或删除服务器上的敏感...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值