Nginx 文件名逻辑漏洞 CVE-2013-4547 漏洞复现

最新推荐文章于 2024-05-23 18:51:29 发布
最新推荐文章于 2024-05-23 18:51:29 发布
阅读量276 收藏
点赞数
分类专栏: vulhub_Writeup 文章标签: 网络安全 安全漏洞 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43416469/article/details/114091769
版权

Nginx 文件名逻辑漏洞(CVE-2013-4547)

by ADummy

0x00利用路线

​ 上传文件后边空格—>上传文件成功—>php文件被成功解析

0x01漏洞介绍

​ 这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。

影响版本
Nginx  0.8.41 ~ 1.4.3 
Nginx  1.5.0 ~ 1.5.7

0x02漏洞复现

​ 这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。

举个例子,比如,Nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下:

location ~ \.php$ {
    include        fastcgi_params;

    fastcgi_pass   127.0.0.1:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;
    fastcgi_param  DOCUMENT_ROOT /var/www/html;
}

正常情况下(关闭pathinfo的情况下),只有.php后缀的文件才会被发送给fastcgi解析。

而存在CVE-2013-4547的情况下,我们请求1.gif[0x20][0x00].php,这个URI可以匹配上正则\.php$,可以进入这个Location块;但进入后,Nginx却错误地认为请求的文件是1.gif[0x20],就设置其为SCRIPT_FILENAME的值发送给fastcgi。

fastcgi根据SCRIPT_FILENAME的值进行解析,最后造成了解析漏洞。

所以,我们只需要上传一个空格结尾的文件,即可使PHP解析之。

再举个例子,比如很多网站限制了允许访问后台的IP:

location /admin/ {
    allow 127.0.0.1;
    deny all;
}

我们可以请求如下URI:/test[0x20]/../admin/index.php,这个URI不会匹配上location后面的/admin/,也就绕过了其中的IP验证;但最后请求的是/test[0x20]/../admin/index.php文件,也就是/admin/index.php,成功访问到后台。(这个前提是需要有一个目录叫test:这是Linux系统的特点,如果有一个不存在的目录,则即使跳转到上一层,也会爆文件不存在的错误,Windows下没有这个限制)

环境启动后,访问http://your-ip:8080/即可看到一个上传页面。

这个环境是黑名单验证,我们无法上传php后缀的文件,需要利用CVE-2013-4547。我们上传一个1.gif,注意后面的空格:

在这里插入图片描述
在这里插入图片描述

此处有一个坑点,就是访问文件的时候也需要改包,这就带来一个问题 蚁剑连不上shell,希望有师傅能解决这个问题。

ADummy_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx文件名逻辑漏洞CVE-2013-4547
haha1314的博客
07-15 1682
Nginx文件名逻辑漏洞CVE-2013-4547漏洞说明 影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 我们只需要上传一个空格结尾的文件,即可使PHP解析之。 我们可以请求如下URI:/test[0x20]/../admin/index.php,这个URI不会匹配上location后面的/admin/,也就绕过了其中的IP验证;但最后请求的是/test...
web漏洞挖掘快速入门1
08-08
3. 通过 zmpap 全网爆破查询真实 ip(可靠) 4. 子域名爆破,现在越来越不靠谱了 5. 通过扫描出网站测试文件如 phpinfo,test 等配置文
CVE-2013-4547漏洞复现
HEAVEN569的博客
02-14 3366
Nginx 文件名逻辑漏洞 CVE-2013-4547 一、漏洞描述 其实这个漏洞和代码执行没有太大的关系,主要的原因是错误的解析了请求的URI,错误地获取到用户请求的文件名,导致权限绕过,代码执行的连带影响 二、漏洞原理 举个例子,比如,nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下:  location ~ \.php$ { include fastcgi_params; fastcgi_pass 127.0.0.1...
Nginx文件解析漏洞复现CVE-2013-4547
最新发布
MateSnake的博客
05-23 511
Nginx文件解析漏洞复现CVE-2013-4547
中间件漏洞(一)CVE-2013-4547文件名逻辑漏洞
m0_63306943的博客
05-03 1556
这里也是一样包中的请求文件的总体后缀名为.php,nginx会首先将文件交给FastCGI处理并截断则请求的文件名为 shell.jpg,之后会交给PHP-FPM处理此时php-fpm.conf中的security.limit_extensions为空,也就是说任意后缀名都可以解析为PHP 所以会将 shell.jpg 文件当作php文件处理并返回给浏览器形成逻辑漏洞。根据nginx.conf文件中location中的定义,以.php结尾的文件都解析为php。反正结果后面的.php后缀最后都会被截断掉。
CVE-2013-4547
FNjoker的博客
08-04 768
CVE-2013-4547 漏洞描述 CVE-2013-4547Nginx文件名逻辑漏洞,在正常情况下(关闭 pathinfo 的情况下),只有.php 后缀的文件才会被发送给 fastcgi 解析。而如果空格和零截断符相邻的话ngin就不会检测到零截断并放回错误了,这是一个逻辑漏洞,所以通过这种方式我们就可以在URI中使用零截断,这就是CVE-2013-4547漏洞利用演示 这是vulhub的一个漏洞靶场,有一个文件上传的接口的。 从源代码中可以看到,这是一个基于黑名单的验证机制,直接上传.ph
Nginx 文件名逻辑漏洞CVE-2013-4547
bqnagus
10-02 1888
vulhub-nginx 复现
Nginx越界读取缓存漏洞 CVE-2017-7529
03-13
Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件,则Nginx会直接将...
nginx-1.4.0:用于CVE-2013-2028的分析
05-14
**Nginx 1.4.0 及 CVE-2013-2028 漏洞分析** Nginx 是一个流行的开源 Web 服务器,以其高性能、稳定性及低内存消耗而闻名。在 Nginx 1.4.0 版本中,存在一个名为 CVE-2013-2028 的安全漏洞,这个漏洞允许攻击者通过...
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
nginx-1.13.3,nginx1.13.3不存在信息泄漏漏洞安全稳定nginx版本
10-09
Nginx 1.13.3 中,开发团队对这类漏洞进行了细致的排查和修复,确保用户在使用过程中不会遭遇此类问题。 **2. 稳定性** 稳定性是 Nginx 的核心优势之一。Nginx 1.13.3 版本经过了严格的测试和验证,确保在各种...
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞,升级OpenSSL到OpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞(OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复该漏洞,升级OpenSSL到OpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供...
CVE-2013-4547Nginx文件名逻辑漏洞
爱吃仡坨的Blog
10-14 960
漏洞是利用了Nginx解析了错误的URl地址,使得绕过服务端限制解析了php文件,造成命令执行的危害php-fpm.conf中的security.limit_extensions为空使得任意后缀都可以被解析Nginx服务器将名为ggbond.php[0x20][0x00].php文件发给fastCGI,然而fastcgi在接受此文件时候只读取到ggbond.php[0x20][0x00];
Nginx漏洞—解析漏洞、配置不当和(CVE-2013-4547)
今天也要加油鸭
03-06 6557
CVE-2013-4547Nginx目录跨越及代码执行漏洞,也被成为文件名逻辑漏洞。 涉及版本:Nginx 0.8.41~1.4.3 / 1.5.0<=1.5.7 漏洞原理: 这个漏洞虽然也被称为代码执行漏洞,但跟代码执行没有太大关系,主要是由于非法的字符空格和截止符(\0)导致Nginx解析URI时的有限状态机混乱,攻击者通过一个非编码的空格绕过后缀名限制,导致出现权限绕过,代码执行等影...
Exp9 Web安全实践基础 20154328 常城
weixin_30509393的博客
05-23 224
Exp9 Web安全基础实践 一、基础问题回答 1. SQL注入攻击原理,如何防御? SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。 对于SQL注入攻击的防范,主要还是从代码上入手: 采用预编译语句集PreparedStatement,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。它的...
Nexus Repository Manager 3 远程命令执行漏洞 CVE-2019-7238 漏洞复现
ADummy的博客
03-03 324
Nexus Repository Manager 3 远程命令执行漏洞CVE-2019-7238) by ADummy 0x00利用路线 ​ ysoserial生成payload—>上传给网站进行解析—>命令执行 0x01漏洞介绍 ​ SNexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.14.0及之前版本中,存在一处基于OrientDB自定义函数的任意JEXL表达式执行功能,而这处功能存在未授权访问漏洞,将
PostgreSQL 高权限命令执行漏洞 CVE-2019-9193 漏洞复现
ADummy的博客
03-07 488
PostgreSQL 高权限命令执行漏洞CVE-2019-9193) by ADummy 0x00利用路线 ​ 连接到数据库,直接命令执行 0x01漏洞介绍 ​ PostgreSQL 是一款关系型数据库。其9.3到11版本中存在一处“特性”,管理员或具有“COPY TO/FROM PROGRAM”权限的用户,可以使用这个特性执行任意命令。 影响版本 PostgreSQL < 11 0x02漏洞复现 环境启动后,将开启Postgres默认的5432端口,默认账号密码为postgres/pos
限制会话id服务端不共享_【干货分享】Web安全漏洞深入分析及其安全编码
weixin_39930276的博客
12-19 375
阅读:13,003超全Web漏洞详解及其对应的安全编码规则,包括:SQL注入、XSS、CSRF、文件上传、路径遍历、越权、XML以及业务安全等,实例告诉你各个漏洞对应的编码规则。给你的代码加把安全锁!一、Web安全基础1.1常见的Web安全漏洞1.2安全编码原则一切输入都是有害的!!!输出也不安全!输入:传参,cookie、session、http header、数据库……输出:异常信息、敏感...
ECShop 2.x / 3.x SQL注入/远程执行代码漏洞 xianzhi-2017-02-82239600 漏洞复现
ADummy的博客
02-24 758
ECShop 2.x / 3.x SQL注入/远程执行代码漏洞 by ADummy 0x00利用路线 ​ Burpsuite抓包—>脚本生成poc—>Burpsuite修改referer字段—>有回显 0x01漏洞介绍 ​ ECShop是一个B2C独立商店系统,供公司和个人快速建立个性化的在线商店。该系统是基于PHP语言和MYSQL数据库体系结构的跨平台开源程序。在2017年及之前的版本中,存在一个SQL注入漏洞,该漏洞可能会注入有效载荷并最终导致代码执行漏洞。最新版本的3.6.0
nginx cve-2013-4547
04-08
nginx cve-2013-4547是指nginx服务器软件中的安全漏洞,被黑客利用可以导致服务器拒绝服务攻击。该漏洞影响nginx 1.4.0至1.4.3及1.5.0至1.5.6版本,建议用户及时升级软件版本以避免漏洞被利用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值