nginx 上传文件漏洞_nginx文件名逻辑漏洞_CVE-2013-4547漏洞复现

最新推荐文章于 2023-12-09 10:20:44 发布
最新推荐文章于 2023-12-09 10:20:44 发布
阅读量95 收藏
点赞数
文章标签: nginx 上传文件漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39929918/article/details/112010877
版权

nginx文件名逻辑漏洞_CVE-2013-4547漏洞复现

一、漏洞描述

这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。

二、漏洞原理

举个例子,比如,nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下:

location ~\.php$ {

include fastcgi_params;

fastcgi_pass127.0.0.1:9000;

fastcgi_index index.php;

fastcgi_param SCRIPT_FILENAME/var/www/html$fastcgi_script_name;

fastcgi_param DOCUMENT_ROOT/var/www/html;

}

正常情况下(关闭了pathinfo的情况下),只有.php后缀的文件才会被发送给fastcgi解析。

而存在CVE-2013-4547的情况下,我们请求1.gif[0x20][0x00].php,这个URI可以匹配上正则\.php$,可以进入这个Location块;但进入后,Nginx却错误地认为请求的文件是1.gif[0x20],就设置其为SCRIPT_FILENAME的值发送给fastcgi。

Fastcgi根据SCRIPT_FILENAME的值进行解析,最后造成了解析漏洞。

所以,我们只需要上传一个空格结尾的文件,即可使PHP解析之。

再举个例子,比如很多网站限制了允许访问后台的IP:

location /admin/{

allow127.0.0.1;

deny all;

}

我们可以请求如下URI:/test[0x20]/../admin/index.php,这个URI不会匹配上location后面的/admin/,也就绕过了其中的IP验证;但最后请求的是/test[0x20]/../admin/index.php文件,也就是/admin/index.php,成功访问到后台。(这个前提是需要有一个目录test:这是Linux系统的特点,如果有一个不存在的目录,则即使跳转到上一层,也会爆文件不存在的错误,Windows下没有这个限制)

三、漏洞影响版本

Nginx 0.8.41~1.4.3

Nginx 1.5.0~1.5.7

四、漏洞环境搭建和复现

1、使用docker搭建vulhub漏洞环境,启动漏洞环境

docker-compose build

docker-compose up -d

2、浏览器访问http://172.17.0.1:8080/,测试环境是否搭建成功

3、 看一下后端过滤

4、上传一个mu.jpg,里面的内容还是<?php phpinfo();?>,注意后面的空格,发现上传成功

5、构造mu.jpg[0x20][0x00].php来造成Nginx解析漏洞,使我们的mu.jpg被解析成php

在burp抓取的数据包中把mu.jpg后面的两个空格 [0x20][0x20] ---> [0x20][0x00] ,发现成功上传

6、访问http://172.17.0.1:8080/uploadfiles/1.gif[0x20][0x00].php,即可发现PHP已被解析

五、漏洞防御

1、升级版本

--------------------------------------------------------------------------------------------------

参考资料: https://github.com/vulhub/vulhub/tree/master/nginx/CVE-2013-4547

weixin_39929918
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx中的解析漏洞整理
白泽Sec安全实验室
10-28 4398
在实战中经常遇到nginx,遇到nginx第一反应就是解析漏洞 Nginx中php配置错误导致的解析漏洞 漏洞详情 这一漏洞是由于Nginx中php配置不当而造成的,与Nginx版本无关 Nginx拿到文件路径(更专业的说法是URI)/test.jpg/test.php后,一看后缀是.php,便认为该文件是php文件,转交给php去处理。php一看/test.jpg/test.php不存在,便删去最后的/test.php,又看/test.jpg存在,便把/test.jpg当成要执行的文件了 这其中涉及到ph
Nginx越界读取缓存漏洞 CVE-2017-7529
03-13
Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件,则Nginx会直接将...
nginx文件类型错误解析漏洞
weixin_34081595的博客
09-17 59
漏洞介绍:nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题,默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的***者可能攻陷支持php的nginx服务器。漏洞分析:nginx默认以cgi的方式支持php的运行,譬如在...
25、文件上传漏洞——Nginx文件解析漏洞
最新发布
qq_55202378的博客
12-09 264
启动web服务,然后到web目录中写一个测试php文件,重启nginx服务,尝试访问,如果可以解析,则环境配置成功。,php解释器认为这不是php文件,于是返回"Access denied"。,转交给php解释器去处理。和Apache一样,Nginx也是通过。当作执行的文件,又因为文件后缀是。Nginx拿到文件路径。当php解释器遇到文件路径。不是解析为php文件吗?不存在,则会去掉最后的。是否存在,若存在,则把。若不存在,则继续去掉。/任意文件名.php。
文件上传之Nginx解析漏洞
一个普普通通的博客
03-24 6956
文件上传之Nginx解析漏洞
文件上传靶场-Nginx文件解析漏洞
ierciyuan的博客
11-04 1709
一个简单的nginx文件解析漏洞靶场。配置疏忽导致文件上传漏洞产生。
nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本
10-09
**Nginx 1.13.3 版本详解** Nginx 是一款高性能的 HTTP 和反向代理服务器,广泛应用于网站托管、负载均衡以及应用程序交付等领域。它以其高效、稳定和轻量级的特性著称,尤其在处理静态内容和高并发请求时表现优秀...
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
nginx-1.4.0:用于CVE-2013-2028的分析
05-14
**Nginx 1.4.0 及 CVE-2013-2028 漏洞分析** Nginx 是一个流行的开源 Web 服务器,以其高性能、稳定性及低内存消耗而闻名。在 Nginx 1.4.0 版本中,存在一个名为 CVE-2013-2028 的安全漏洞,这个漏洞允许攻击者通过...
CVE-2021-21315-PoC:CVE 2021-21315 PoC
03-03
PoC包含: 使用明确的易受攻击的系统信息测试Node.js中制作的应用简单测试有效负载即可在受影响的计算机上创建.txt文件重现步骤: 在Linux服务器环境上运行应用程序向site.com/api/getServices?name=nginx发出GET...
nginx1.4.0漏洞验证
06-21
测试用到的python文件和linux版本的nginx1.4.0源码
nginx1.14.2稳定版
12-13
nginx稳定版服务器 解压就能使用 如果闪退的话该端口号即可
nginx 上传漏洞及 discuz 漏洞处理
firseve的专栏
05-04 339
由于nginx早期的版本,至少我在用 0.9.X 的版本依旧存在漏洞,导致处理过的图片可以执行php代码 简单的说就是写好的php代码将扩展名改为图片,如 xx.jpg 文件后通过 discuz 等开源论坛的上传功能上传后可以通过 http://xxx.com/bbs/data/xxxxxxxx/xx.jpg/1.php 方式执行 xx.php里面的代码 对于discuz 论坛使用ngin...
上传漏洞总结
had3s
04-26 1512
0x01 常规上传突破常见扩展名黑名单1234asp|asa|cer|cdx|aspx|ashx|ascx|asax php|php2|php3|php4|php5|asis|htaccess htm|html|shtml|pwml|phtml|phtm|js|jsp vbs|asis|sh|reg|cgi|exe|dll|com|bat|pl|cfc|cfm|ini特殊后缀1234jsp jsp...
Nginx解析漏洞学习篇
three_year的博客
05-07 223
原理 由于配置的问题导致".php"结尾的文件交给了FastCGI处理,但是FastCGI在处理该".php"文件的时候没有找到该文件,就会找上一层目录,例如文件为"xxx.jpg/xx.php"就会找到xxx.jpg对其用php的格式进行解析,所以造成了解析漏洞 演示 首先在图片中插入一句话这里用phpinfo()函数演示 把该图片上传到服务器上 直接复制该图片的路劲,访问该路径就好了 可以看到...
nginx php 上传漏洞,一次利用nginx漏洞的木马事件
weixin_33585822的博客
03-24 137
error_reporting(E_ERROR);$domain=$_SERVER['SERVER_NAME'];$dddd = $_SERVER['PHP_SELF'];$qqqq=$_SERVER["QUERY_STRING"];$filename =end(explode('/',$dddd));if(stristr($_SERVER['HTTP_REFERER'],'baidu.com/'...
Nginx-1.14.2 安装(这个有个漏洞,会导致过多的内存消耗,使用nginx 1.17.3版本就可以解决)
Value me 的博客
03-09 2310
系统平台:CentOS7 一、安装编译工具及库文件 yum -y install make zlib zlib-devel gcc-c++ libtool openssl openssl-devel 二、首先要安装 PCRE PCRE 作用是让 Nginx 支持 Rewrite 功能。 1、下载 PCRE 安装包,下载地址: http://downloads.sourceforge.net/p...
nginx漏洞复现
wwang135的博客
03-21 6650
C V E - 2 0 1 3 - 4 5 4 7 构建并启动容器 1. 2. 访问网址IP地址 3. 上传图片文件 bp抓包 在 <?php phpinfo();?> 前面加上 GIF89a??改成图片文件 4. bp send放包过去 /uploadfiles/a7c3ce076585477741d951d179ab07dc.jpg 在网址后面加上这个文件返回的上传路径 5.最后成功复现 ...
Nginx不一样的逻辑漏洞CVE-2013-4547
qq_43571759的博客
04-24 586
Nginx 文件名逻辑漏洞CVE-2013-4547漏洞说明 影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 漏洞分析 这一漏洞的原理是非法字符空格和截止符(\0)会导致Nginx解析URI时的有限状态机混乱,危害是允许攻击者通过一个非编码空格绕过后缀名限制。 正常情况下,只有.php后缀的文件才会被发送给fastcgi解析。 这里却错误地解析了请求的UR...
nginx 上传文件漏洞_1.2 文件上传之解析漏洞
05-15
然而,Nginx上传模块存在一个解析漏洞,即攻击者可以通过构造特定的上传请求,在服务器上执行任意代码。这种漏洞的成因是上传模块在解析上传请求时没有对上传文件的内容进行充分的检查和过滤,导致攻击者可以在上传...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值