Nginx 文件名逻辑漏洞(CVE-2013-4547)

已于 2023-03-09 15:18:29 修改
阅读量382 收藏
点赞数
分类专栏: 漏洞复现篇 文章标签: 安全
于 2023-03-09 15:15:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58000413/article/details/129421631
版权

注意:仅用于技术讨论,切勿用于其他用途,一切后果与本人无关!!!

个人博客地址:HJW个人博客

理论基础:

建议提前学习nginx的原理:Nginx服务漏洞详解 - 知乎

漏洞原理:

影响版本:Nginx 0.8.41 到 1.4.3 / 1.5.0 到 1.5.7。

出现这样的漏洞主要是nginx与cgi解析产生了冲突而产生的。

这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。非法字符空格和截止符(\0)会导致Nginx解析URI时的有限状态机混乱,此漏洞可导致目录跨越及代码执行。

1、查看配置文件

这里的security.limit_extensions为空说明可以解析所有后缀的文件,这里就说明 .php 是可以当成php代码执行的。

2、众所周知正则匹配遇到\0是不会停止匹配的,但是nginx遇到\0就会停止。从而只会解析到前面的文件,以1.jpg\0.php为例,只会解析到1.jpg,假如这时里面存在木马,则可以直接代码执行。

3、在仔细调试代码发现但如果nginx发现URI中存在空格会接着处理URL中剩余的部分

漏洞复现之CVE-2013-4547_Blood_Pupil的博客-CSDN博客

结合1、2、3点很容易构造出,空格加零零截断可以成功绕过。

http://127.0.0.1/uploadfiles/shell.jpg[20][00].php

nginx对上面的URI处理后将shell.jpg[20][00].php交给fastcgi处理,由于零截断fastcgi实际处理的文件为abc.jpg[20],这个文件需要存在fastcgi才能正常处理。在Windows环境下由于命名文件时不允许文件后缀末尾存在空格所以自动将其修复为abc.jpg,这种情况下我们只需要上传一张包含代码的名字为abc.jpg的文件就可以利用漏洞了。但是在Linux情况下情况就不一样了。在Linux环境中由于允许文件后缀名最后存在空格所以我们需要确保我们传过去的文件名为abc.jpg[20],我们可以在文件上传时使用Burpsuit在后缀名后加一个空格从而实现利用
 

漏洞复现:

1、上传木马文件,文件后缀记得空格    =>    shell.jpg[20]

2、访问路径:http://192.168.131.130:8080/uploadfiles/shell.jpgaa.php?8=phpinfo();,使用十六进制将aa修改为[20][00]

3、从而得到出现phpinfo();

修复建议:

将nginx进行升级。

参考文章:

https://www.cnblogs.com/masses0x1/p/15780872.html

不习惯有你
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx越界读取缓存漏洞 CVE-2017-7529
03-13
Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件,则Nginx会直接将...
nginx-1.4.0:用于CVE-2013-2028的分析
05-14
**Nginx 1.4.0 及 CVE-2013-2028 漏洞分析** Nginx 是一个流行的开源 Web 服务器,以其高性能、稳定性及低内存消耗而闻名。在 Nginx 1.4.0 版本中,存在一个名为 CVE-2013-2028 的安全漏洞,这个漏洞允许攻击者通过...
Nginx 文件名逻辑漏洞CVE-2013-4547
bqnagus
10-02 1888
vulhub-nginx 复现
中间件漏洞(一)CVE-2013-4547文件名逻辑漏洞
m0_63306943的博客
05-03 1550
这里也是一样包中的请求文件的总体后缀名为.php,nginx会首先将文件交给FastCGI处理并截断则请求的文件名为 shell.jpg,之后会交给PHP-FPM处理此时php-fpm.conf中的security.limit_extensions为空,也就是说任意后缀名都可以解析为PHP 所以会将 shell.jpg 文件当作php文件处理并返回给浏览器形成逻辑漏洞。根据nginx.conf文件中location中的定义,以.php结尾的文件都解析为php。反正结果后面的.php后缀最后都会被截断掉。
Nginx常见的三个漏洞
最新发布
qq_57289939的博客
08-16 1131
uri。
Nginx目录遍历漏洞复现
huayimy的博客
12-30 2114
Nginx目录遍历漏洞复现,this statement may fail through,error: 'struct crypt_data' has no member named 'current_salt'
CVE-2013-4547Nginx文件名逻辑漏洞
爱吃仡坨的Blog
10-14 960
此漏洞是利用了Nginx解析了错误的URl地址,使得绕过服务端限制解析了php文件,造成命令执行的危害php-fpm.conf中的security.limit_extensions为空使得任意后缀都可以被解析Nginx服务器将名为ggbond.php[0x20][0x00].php文件发给fastCGI,然而fastcgi在接受此文件时候只读取到ggbond.php[0x20][0x00];
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本
10-09
Nginx 1.13.3 中,开发团队对这类漏洞进行了细致的排查和修复,确保用户在使用过程中不会遭遇此类问题。 **2. 稳定性** 稳定性是 Nginx 的核心优势之一。Nginx 1.13.3 版本经过了严格的测试和验证,确保在各种...
nginx+ffmpeg+nginx-http-flv-module+html资源包
05-11
在本资源包中,提供的`nginx-1.20.2.tar.gz`是Nginx的源码包,版本为1.20.2。安装时,通常需要编译源码,执行`./configure`、`make`和`make install`等步骤。 2. **FFmpeg**: FFmpeg是一套强大的多媒体处理工具,...
【vulhub漏洞复现】CVE-2013-4547 Nginx 文件名逻辑漏洞
RexHa的博客
03-04 2607
一、漏洞详情通过%00截断绕过后缀名的限制,使上传的php内容文件被解析执行。当Nginx得到一个用户请求时,首先对url进行解析,进行正则匹配,如果匹配到以.php后缀结尾的文件名,会将请求的PHP文件交给PHP-CGI去解析。假设服务器中存在文件‘123.png ',则可以通过访问如下网址让服务器认为'123.png '的后缀为php。
Nginx越界读取缓存漏洞(CVE-2017-7529)
qq_58000413的博客
09-21 1732
在一个 Range 首部中,可以一次性请求多个部分,服务器会以 multipart 文件的形式将其返回。Nginx越界读取缓存漏洞(CVE-2017-7529)复现分析 漏洞概述 ​在 Nginx 的 range filter 中存在整数溢出漏洞,可以通过带有特殊构造的 range 的 HTTP 头的。主要是因为在通过range读取缓存的时候,当我们构造了两个负值得位置,则我们可以读取到缓存文件中比敏感的服务器信息。漏洞复现-CVE-2017-7529-敏感信息泄露 - 铺哩 - 博客园。
Nginx 文件名逻辑漏洞复现(CVE-2013-4547
W小哥
05-21 669
一、漏洞描述 影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 二、漏洞原理 这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。 举个例子,比如,Nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下: location ~ .php$ { include fastcgi_params; fastcgi_pass 127.0.0.1:90
Nginx文件名逻辑漏洞CVE-2013-4547
bring_coco的博客
06-09 489
一.漏洞原理 总:这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。 举个例子,比如,nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下: location ~ \.php$ { include fastcgi_params; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param S
Nginx Web安全漏洞解决:Web服务器HTTP头信息公开以及Web服务器错误页面信息泄露
热门推荐
weixin_43905458的博客
04-24 1万+
1、安全问题说明 使用Nginx提供服务的产品,经过安全扫描工具扫描后报出两个安全漏洞 1.1、安全漏洞:Web服务器HTTP头信息公开 风险级别:中风险 漏洞个数:4 漏洞详情: 端口 协议 服务 443 TCP WWW 80 TCP WWW 8000 TCP WWW 8080 TCP WWW 1.2、安全漏洞:Web服务器错误页面信息泄露 风险级别:中风险 漏洞...
【漏洞复现】Nginx 文件名逻辑漏洞CVE-2013-4547
cj_Hydra's Blog
11-04 570
前言: 这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。 举个例子,比如,Nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下: location ~ \.php$ { include fastcgi_params; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_para
CVE-2013-4547 Nginx 文件名逻辑漏洞
凝聚力安全团队
01-25 304
目录漏洞描述影响版本漏洞环境搭建漏洞分析漏洞检测漏洞利用漏洞加固参考链接 漏洞描述   nginx 0.8.41至1.4.3和1.5.7之前的1.5.x允许远程攻击者通过URI中的未转义空格字符来绕过预期的限制。 影响版本 Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 漏洞环境搭建 使用vulhub直接docker一键启动环境CVE-2013-4547环境 docker快速入门以及漏洞环境搭建 下载安装好vulhub后进入/vulhub/nginx/CVE-2013-454
Nginx 文件名逻辑漏洞CVE-2013-4547)漏洞复现
鸥鹭忘机
10-03 4092
前言 影响版本:Nginx 0.8.41 到 1.4.3 / 1.5.0 到 1.5.7。 利用条件:php-fpm.conf中的security.limit_extensions为空。 建议在学习该漏洞前先学习nginx的原理:https://zhuanlan.zhihu.com/p/136801555。 security.limit_extensions设置了就只能解析指定后缀的文件,为空可以解析所有后缀文件。 漏洞原理 首先来看nginx解析php文件的配置信息: location ~ \.php
Nginx 文件名逻辑漏洞CVE-2013-4547)新手向
Elohim__的博客
10-12 407
Nginx 文件名逻辑漏洞CVE-2013-4547) 今天尝试了一下CVE-2013-4547这个解析漏洞,按部就班测试的时候发现并没有像部分教程中提到的那样直接解析,大部分是报错信息No input file specified 或者 文件不存在,看了很多文章以及进行过多次尝试后,终于成了,以下为实验步骤: ** ## 实验步骤: Nginx 文件名逻辑漏洞CVE-2013-4547) 1.创建文件 ccc.gif 2.burp抓包 ,文件名后加 ccc.gif[空格] 3.网站提示成功 Fi
nginx cve-2013-4547
04-08
nginx cve-2013-4547是指nginx服务器软件中的安全漏洞,被黑客利用可以导致服务器拒绝服务攻击。该漏洞影响nginx 1.4.0至1.4.3及1.5.0至1.5.6版本,建议用户及时升级软件版本以避免漏洞被利用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值