Nginx-Host绕过复现

最新推荐文章于 2024-03-15 16:12:52 发布
最新推荐文章于 2024-03-15 16:12:52 发布
阅读量794 收藏
点赞数
分类专栏: 安全 文章标签: nginx web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63284884/article/details/130994715
版权
文章介绍了Nginx和PHP处理Host头的不同方式,导致的安全隐患,包括Nginx的冒号分割策略,多Host头的情况,以及HTTPS中的SNI利用。通过三种处理方式展示了如何可能绕过服务器配置限制,触发SQL报错或访问非预期服务器块。
摘要由CSDN通过智能技术生成

目录

环境搭建:

第一种处理方式

第二种处理方式

第三种处理方式

原理依据:Nginx与PHP对Host处理方式不同

环境搭建:

1、提前安装完成nginx+php+mysql,然后上传文件pwnhub到nginx/html下

2、修改nginx.conf配置文件:

    server {
        listen          80;
        server_name     www.php.com;
        root            html/pwnhub/web;
        index           index.html index.php index.htm;
        #location / {
        #    root       html/mhz/web;
        #    index      index.html index.htm index.php;
        #}
        location / {
        try_files $uri $uri/ /index.php;
        }
        location ~ \.php(.*)$ {
            fastcgi_pass        127.0.0.1:9000;
            fastcgi_index       index.php;
            fastcgi_split_path_info ^((?U).+\.php)(/?.+)$;
            fastcgi_param       SCRIPT_FILENAME $document_root$fastcgi_script_name;
            fastcgi_param       PATH_INFO $fastcgi_path_info;
            fastcgi_param       PATH_TRANSLATED $document_root$fastcgi_path_info;
            include             fastcgi_params;
        }
    }

3、在nginx/sbin目录下运行

./nginx -s reload

4、运行MySQL数据库并创建数据库和表:

[root@localhost ~]# mysql -u root -p
Enter password: 
​
mysql> show databases;
mysql> create database security;
mysql> use security;
​
mysql>SET NAMES utf8;
mysql>SET FOREIGN_KEY_CHECKS = 0;
​
mysql>DROP TABLE IF EXISTS `flags`;
mysql>CREATE TABLE `flags` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `flag` varchar(256) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4;
​
mysql>DROP TABLE IF EXISTS `users`;
mysql>CREATE TABLE `users` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(256) NOT NULL,
  `password` varchar(32) NOT NULL,
  `email` varchar(256) DEFAULT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `username` (`username`)
) ENGINE=InnoDB AUTO_INCREMENT=15 DEFAULT CHARSET=utf8mb4;
​
mysql>SET FOREIGN_KEY_CHECKS = 1;

5、在本地“C:\Windows\System32\drivers\etc/hosts”中添加映射关系。

6、在本地浏览器中访问“www.php.com”,便可以看到如下图片,默认登录页面地址为“http://www.php.com/main/login”,

 

切换为“http://www.php.com/main/register”就可以注册新用户,如下图所示

 

第一种处理方式

Nginx在处理Host的时候,会将Host用冒号分割成hostname和port,port部分被丢弃。所以,我们可以设置Host的值为www.php.com:xxx'"@example.com,这样就能访问到目标Server块:

 

如上图,成功触发SQL报错。

总结:Nginx通过冒号分隔只截取到冒号之前的内容,而PHP会将全部内容都拿到。

第二种处理方式

当我们传入两个Host头的时候,Nginx将以第一个为准,而PHP-FPM将以第二个为准。

Host:www.php.com
Host:xxx'"@example.com

Nginx将认为Host为www.php.com并交给Server处理;但是PHP中使用$_SERVER['HTTP_HOST']取到的值却是xxx'"@example.com。这种方法也可以实现绕过。

 

注意:只有Nginx+PHP会出现这个问题,Apache与此不同,将会是另一种情况。

第三种处理方式

原理:在发送https数据包的时候,SNI中指定的域名是example2.com,而无需和HTTP报文中的Host头保持一致,Nginx会选择SNI中的域名作为Server Name。

 

我们可以直接使用Burpsuite来测试这个trick,比如我在后端编写PHP代码echo $_SERVER['HTTP_HOST']。正常访问是会显示此时的Host头。

在HTTP协议时,如果我们修改Host头,Nginx将因为识别不到Server Name被导向默认的页面。

但此时我们在Burpsuite里修改协议为https,并指定好https的Host,也就是SNI,如图4。我们再修改HTTP数据包的Host头,就能正常访问目标后端了。

忘记交作业
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx-host绕过实例复现
m0_56501091的博客
02-09 246
Nginx在处理Host的时候,会将Host用冒号分割成hostname和port,port部分被丢弃。但PHP中使用$_SERVER[‘HTTP_HOST’]取到的值却是xxx’"@example.com。我们可以直接使用Burpsuite来测试这个trick,比如我在后端编写PHP代码echo $_SERVER[‘HTTP_HOST’]。当我们传入两个Host头的时候,Nginx将以第一个为准,而PHP-FPM将以第二个为准。原理就是,我们在发送https数据包的时候,目前环境部署的差不多。
寒假安全作业nginx-host绕过实例复现
StriverNumber1的博客
02-11 715
寒假安全作业nginx-host绕过实例复现
Nginx屏蔽头部攻击
qq_44637753的博客
04-01 8955
Nginx屏蔽头部攻击 多IP 简单配置nginx.conf server { listen 80; server_name name1 name2; ##name可以为域名或者ip if ($http_Host !~* ^name1|name2$) ##name1和name2之间 连接符“|”无任何空格,有空格报错,如果是单域名(ip)省略“|name2”格式为“$http_Host !~* ^name1$” {
Nginx根据$host及请求的URI规则重定向rewrite
StudyHappiness的博客
03-10 4488
Nginx反向代理,根据请求的host进行判断跳转,重定向到不同地址。一个端口同时代理多个域名,根据域名再匹配重定向到不同的项目地址。解决Nginx的if判断不能嵌套,也不能使用逻辑的与和或,使用标识符来匹配。
开启Nginx基础校验
fishinhouse的专栏
03-30 558
1、配置nginx.conf server { listen 80; listen [::]:80; server_name xxx.xxx.xxx; return 301 https://$host$request_uri; } server { listen [::...
nginx 关于 proxy_set_header Host $host 信息验证
zyy247796143的博客
09-03 4071
测试环境 nginx 服务器 IP:192.168.4.20 web 服务器IP:192.168.4.5 配置详情 1. 在 web 服务器(192.168.4.5)上启动简易 Flask 服务来获取Host 信息。编辑req.py: from flask import Flask from flask import request app = Flask(__name__) @app.route('/') def getrequest(): useragent=request.headers.
nginx配置详解
PeakGao
09-27 1万+
Nginx的官网文档中说下面这两条是做反代时默认的,所以$proxy_host 自然是 proxy_pass后面跟着的host了proxy_set_header Host。1)后端服务器设置有类似防盗链或者根据http请求头中的host字段来进行路由或判断功能的话,如果nginx代理层不重写请求头中的host字段,将会导致请求失败,报400错误。在使用Nginx做反向代理的时候,proxy_set_header功能可以设置反向代理后的http header中的host,如果客户端发过来的请求的。
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
Alone hackers的博客
03-07 7563
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
nginx_host绕过
m0_63069714的博客
02-10 1813
创建ca文件存放证书密钥文件生成私钥以及证书的请求文件最终生成crt证书文件。
Nginx漏洞复现
weixin_58163202的博客
02-08 1127
nignx漏洞复现
Nginx漏洞—解析漏洞、配置不当和(CVE-2013-4547)
今天也要加油鸭
03-06 6608
CVE-2013-4547是Nginx目录跨越及代码执行漏洞,也被成为文件名逻辑漏洞。 涉及版本:Nginx 0.8.41~1.4.3 / 1.5.0<=1.5.7 漏洞原理: 这个漏洞虽然也被称为代码执行漏洞,但跟代码执行没有太大关系,主要是由于非法的字符空格和截止符(\0)导致Nginx解析URI时的有限状态机混乱,攻击者通过一个非编码的空格绕过后缀名限制,导致出现权限绕过,代码执行等影...
SSRF安全指北
Tencent_SRC的博客
01-26 1128
文|腾讯蓝军silence前言SSRF (Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。SSRF是...
【域名访问限制不严格漏洞原理及修复】
最新发布
zoonctrl的博客
03-15 3250
域名访问限制不严格漏洞,原理,修复建议
Nginx运维命令总结及常见问题排查和解决方案
yh4494的博客
03-07 1833
Nginx 如何忽略非标准http头检测? Nginx websocket代理 Nginx 临时缓存不够导致下载文件失败 Nginx 没有临时缓存目录权限导致下载文件失败 Nginx非root用户启动无法使用80端口或者报无权限异常 路由重写怎么配置? nginx 根据ip hash负载怎么配置? Nginx 日志输出怎么配置? Nginx 如何替换Html插入变量?
配置Nginx解决http host头攻击漏洞【详细步骤】
虽千万人,吾往矣
12-12 1万+
安全系统渗透测试出host头攻击漏洞,下面是解决步骤。
nginx反向代理无法使用hosts
shellingford37的博客
01-20 858
安装过程中提示失败,原因是53端口被systemd-resolved占用了,但systemd-resolved不会解析/etc/hosts并让他在nginx的proxy_pass中生效 ,不知道为什么。接着配置服务的配置文件,需要放开addn-hosts、和resolv-file。先查看53端口占用情况,确认是否是systemd-resolved占用的。所以就需要停止systemd-resolved对53端口的占用了。需要搭建一个自己的dns解析服务器,用来解析这个域名。在配置自定义的内网域名解析。
nginx启动、重启、关闭
热门推荐
弹指天下
07-11 14万+
方式一:传统方法 一、启动   cd usr/local/nginx/sbin ./nginx 二、重启   更改配置重启nginx   kill -HUP 主进程号或进程号文件路径 或者使用 cd /usr/local/nginx/sbin ./nginx -s reload     判断配置文件是否正确  nginx -t -c
IIS 状态代码
ericzh的专栏
07-14 651
概要当用户试图通过 HTTP 或文件传输协议 (FTP) 访问一台正在运行 Internet 信息服务 (IIS) 的服务器上的内容时,IIS 返回一个表示该请求的状态的数字代码。该状态代码记录在 IIS 日志中,同时也可能在 Web 浏览器或 FTP 客户端显示。状态代码可以指明具体请求是否已成功,还可以揭示请求失败的确切原因。更多信息日志文件的位置在默认状态下,IIS 把它
nginx 根证书 服务器证书,Nginx双向证书校验(服务器验证客户端证书)
weixin_35730840的博客
07-30 3844
1、创建Root CA私钥openssl genrsa -out root-ca.key 10242、创建Root CA证书请求openssl req -new -out root-ca.csr -key root-ca.key3、签发Root CA根证书openssl x509 -req -in root-ca.csr -out root-ca.crt -signkey root-ca.key ...
nginx -t nginx -s reload
03-12
nginx -t是用于检查nginx配置文件语法是否正确的命令。当我们修改了nginx的配置文件后,可以使用nginx -t命令来验证配置文件的正确性,以避免在重启nginx时出现错误。 nginx -s reload是用于重新加载nginx配置文件的命令。当我们修改了nginx的配置文件后,可以使用nginx -s reload命令来重新加载配置文件,使新的配置生效,而无需重启整个nginx服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值