安全中级1-nginx_host与php处理不同绕过

已于 2023-05-20 23:31:54 修改
阅读量735 收藏
点赞数
分类专栏: 网络安全渗透 文章标签: php nginx 安全
于 2023-05-19 21:41:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62870380/article/details/130736345
版权

目录

一、nginx配置证书

1.生成一个ssl.key密钥

2.创建一个key的目录,并将ssl.key放入到key目录下

3.将ssl.key修改为xxx.key

4.创建ssl.key密钥

5.删除xxx.key

6.生成一个ssl.csr证书

7.给证书生成证书时长

8.启动nginx ,出现了下面的问题

9.主要问题是我们没编译ngx_http_ssl_module这个模块

10.进入到我们原先解压的安装包中

11.编译ssl_module

12.编译

13.关闭nginx

14.进入到nginx-1.24.0,将nginx启动模块在覆盖一边

15.配置nginx.conf文件

16.配置如下内容

17.重启nginx

18.在物理机的浏览器输入https://192.168.191.129

二、攻击LNMP架构的web应用的小技巧

1.nginx+php+mysql(php推荐5.6版本),上篇博客提到过怎么搭建

(1)上传文件到我们的/usr/local/nginx/html下

(2)配置nginx.conf

(3)配置config.php文件,输入mysql的用户和密码

 

(4)访问www.php.com

2.phpstudy面板搭建的配置

3.原理(sql的单引号逃逸)

4.先对邮箱进行一个绕过(0x03 FILTER_VALIDATE_EMAIL绕过)

5.绕过nginx的host头部的三种技巧

(1)Nginx在处理Host的时候,会将Host用冒号分割成hostname和port,port部分被丢弃。所以,我们可以设置Host的值为2023.mhz.pw:xxx'"@example.com,这样就能访问到目标Server块:

(2)当我们传入两个Host头的时候,Nginx将以第一个为准,而PHP-FPM将以第二个为准。

也就是说,如果我传入:

(3)在Burpsuite里修改协议为https,并指定好https的Host,也就是SNI。我们再修改HTTP数据包的Host头,就能正常访问目标后端了。

6.sql进行注入

三、LNMP构建入侵思路(自己的思路)

1.先通过查看代码发现$_server接前端的邮箱并没有进行限制特殊字符,我们可以通过这一点进行一个sql的注入

2.先对邮箱进行逃逸单引号,根据邮箱的结构分为local part和domain part两部分,而我们的domain part连接的是网址,所以没办法注入,但是我们的local part如果含有特殊字符,可以通过双引号将其包围比如(a'),最终是("a'")。而邮箱是用户名、Host、@三部分构成,所以我们可以这样构造,代码没对双引号进行过滤,所以用户名我们可以是"a,而我们的host为a'",最后构造成"aa'"@example.com就可以绕过邮箱,同时还带有单引号。

3.当我们利用burpsuit,修改用户名和host对我们的邮箱绕过后,提交后,发现他给我们报了404的问题,这是我们nginx在处理host的时候会将Host用冒号分割成hostname和port,port部分被丢,而我们构造的host没有hostname所以nginx不知到咋处理就出现了404,解决方法就是我们通过冒号(:)前面是我们访问的目标网站,后面构造成我们伪造的host,最后host被构造成(www.php.com:a'"@example.com),就让我们的mysql进行了报错,还有一种方法就是构造双host,比如(host:www.php.com host: a'"@example.com),其处理一样,将第一个访问后被nginx处理,第二个host会被我们的php接收。

4.进行注入,host头部为

Host: www.php.com

Host: '),('t123',md5(12123),(select(flag)from(flags)))#"@examle.com

完整的结果为 insert into users values('"a',abcdecdccd,'"a@ '),('t123',md5(12123),(select(flag)from(flages)))"@example.com')

第一个host为目标网址,第二个host的')是将前面用户密码进行闭合(用户名为"a,密码为123,邮箱为"@example),而('jiege',md5(12123),(select(flag)from(flags)))这个是用户名jiege,密码12123,邮箱是从flags拿出我们的flage,#是将我们多余的双引号进行注释掉,防止插入出现问题。

5.登陆我们插入的用户jiege,密码12123,之后就可以看到我们的flage。

一、nginx配置证书

1.生成一个ssl.key密钥

openssl genrsa -des3 -out ssl.key 2096

2.创建一个key的目录,并将ssl.key放入到key目录下

mkdir key

mv ssl.key key/

cd key 

3.将ssl.key修改为xxx.key

mv ssl.key xxx.key

4.创建ssl.key密钥

openssl rsa -in xxx.key -out ssl.key

5.删除xxx.key

rm xxx.key

6.生成一个ssl.csr证书

openssl req -new -key ssl.key -out ssl.csr

7.给证书生成证书时长

openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key-out 

8.启动nginx ,出现了下面的问题

cd /usr/local/nginx/sbin

./nginx -s reload

9.主要问题是我们没编译ngx_http_ssl_module这个模块

10.进入到我们原先解压的安装包中

cd /usr/local/nginx-1.24.0/

11.编译ssl_module

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

12.编译

make

13.关闭nginx

cd /usr/local/nginx/sbin

./nginx -s stop

#如果报错根据问题继续解决

14.进入到nginx-1.24.0,将nginx启动模块在覆盖一边

cd /usr/local/nginx-1.24.0/

cp obis/nginx  /usr/local/nginx/sbin/

15.配置nginx.conf文件

cd /usr/local/nginx/conf/

vim nginx.conf

16.配置如下内容

   #证书认证

   rewrite ^(.*)$ https://192.168.191.129; 

  #证书认证
    server {
        listen       443 ssl;
        server_name  192.168.191.129;

        ssl_certificate      /root/key/ssl.crt;
        ssl_certificate_key  /root/key/ssl.key;

        #ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

17.重启nginx

cd /usr/local/nginx/sbin/

./nginx

18.在物理机的浏览器输入https://192.168.191.129

二、攻击LNMP架构的web应用的小技巧

1.nginx+php+mysql(php推荐5.6版本),上篇博客提到过怎么搭建

(1)上传文件到我们的/usr/local/nginx/html下

(2)配置nginx.conf

server {
        listen       80;
        server_name  www.php.com;
        root         /usr/local/nginx/html/pwnhub/web;
        index index.php index.html;
        access_log  logs/host.access.log  main;

        location / {
        try_files $uri $uri/ /index.php;
        }

        location ~ \.php$(.*)$ {
            fastcgi_pass   127.0.0.1:9000;
           fastcgi_index  index.php;
            fastcgi_split_path_info  ^((?U).+\.php)(/?.+)$;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            fastcgi_param  PATH_INFO  $fastcgi_path_info;
            fastcgi_param  PATH_TRANSLATED  $document_root$fastcgi_path_info;
            include        fastcgi_params;
        }

    }

(3)配置config.php文件,输入mysql的用户和密码

 

<?php

date_default_timezone_set('PRC');


 

$config = array(

    'rewrite' => array(

        '<m>/<c>/<a>'          => '<m>/<c>/<a>',

        '<c>/<a>'          => '<c>/<a>',

        '/'                => 'main/index',

    ),

    'debug' => 1,

    'mysql' => array(

        'MYSQL_HOST' => 'localhost',

        'MYSQL_PORT' => '3306',

        'MYSQL_USER' => 'root',

        'MYSQL_DB'   => 'security',

        'MYSQL_PASS' => 'root',

        'MYSQL_CHARSET' => 'utf8mb4',

    ),

);

return $config;

(4)访问www.php.com

2.phpstudy面板搭建的配置

server {

    listen 80;

    server_name www.php.com;

    root "D:/phpstudy_pro/WWW/pwnhub/web";

    index index.html index.php;

    location / {

         try_files $uri $uri/ /index.php;

         autoindex on;

        }

    location ~ \.php(.*)$ {

        fastcgi_pass   127.0.0.1:9000;

        fastcgi_index  index.php;

        fastcgi_split_path_info  ^((?U).+\.php)(/?.+)$;

        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;

        fastcgi_param  PATH_INFO  $fastcgi_path_info;

        fastcgi_param  PATH_TRANSLATED  $document_root$fastcgi_path_info;

        include        fastcgi_params;

        }

}

 注意:fastcgi_pass 127.0.0.0:9000 端口要一致,其它配置一样。

3.原理(sql的单引号逃逸)

        在架构的lnmp的时候,首先对用户和密码通过$_REQUEST进行接入,也对特殊的字符进行了过滤和限制,但是在接前端的email的时候一般用$_SERVER进行接入,但是并为进行特殊字符进行限制,而且邮箱如果没有填写,则自动设置为”用户名@网站域名“。而网站的域名是从arg('HTTP_HOST')中获取,也就是从$_REQUEST$_SERVER中获取。因为$_SERVER没有经过转义,我们只需要在HTTP头Host值中引入单引号,即可造成一个SQL注入漏洞。

<?php
function actionRegister(){
    if ($_POST) {
        $username = arg('username');
        $password = arg('password');

        if (empty($username) || empty($password)) {
            $this->error('Username or password is empty.');
        }

        $email = arg('email');
        if (empty($email)) {
            $email = $username . '@' . arg('HTTP_HOST');
        }

        if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
            $this->error('Email error.');
        }

        $user = new User();
        $data = $user->query("SELECT * FROM `{$user->table_name}` WHERE `username` = '{$username}'");
        if ($data) {
            $this->error('This username is exists.');
        }

        $ret = $user->create([
            'username' => $username,
            'password' => md5($password),
            'email' => $email
        ]);
        if ($ret) {
            $_SESSION['user_id'] = $user->lastInsertId();
        } else {
            $this->error('Unknown error.');
        }
    }

}

4.先对邮箱进行一个绕过(0x03 FILTER_VALIDATE_EMAIL绕过)

        原理是邮箱地址分为local part和domain part两部分。local part中包含特殊字符,需要如下处理:

(1)将特殊字符用\转义,如Joe\'Blow@example.com

(2)或将local part包裹在双引号中,如"Joe'Blow"@example.com

(3)local part长度不超过64个字符

因为代码中邮箱是用户名、@、Host三者拼接而成,但用户名是经过了转义的,所以单引号只能放在Host中。我们可以传入用户名为",Host为aaa'"@example.com,最后拼接出来的邮箱为"aaa'"@example.com。这个含有单引号构成sql注入

5.绕过nginx的host头部的三种技巧

(1)Nginx在处理Host的时候,会将Host用冒号分割成hostname和port,port部分被丢弃。所以,我们可以设置Host的值为2023.mhz.pw:xxx'"@example.com,这样就能访问到目标Server块:

(2)当我们传入两个Host头的时候,Nginx将以第一个为准,而PHP-FPM将以第二个为准。

也就是说,如果我传入:

Host: 2023.mhz.pw
Host: xxx'"@example.com

Nginx将认为Host为2023.mhz.pw,并交给目标Server块处理;但PHP中使$_SERVER['HTTP_HOST']取到的值却是xxx'"@example.com。这样也可以绕过

(3)在Burpsuite里修改协议为https,并指定好https的Host,也就是SNI。我们再修改HTTP数据包的Host头,就能正常访问目标后端了。

6.sql进行注入

        我们通过阅读代码知道我们的flag在flags下,所以直接burpsuit进行注入

POST /main/register HTTP/1.1
Host: 2023.mhz.pw
Host: '),('t123',md5(12123),(select(flag)from(flags)))#"@a.com
Accept-Encoding: gzip, deflate
Accept: */*

三、LNMP构建入侵思路(自己的思路)

1.先通过查看代码发现$_server接前端的邮箱并没有进行限制特殊字符,我们可以通过这一点进行一个sql的注入

2.先对邮箱进行逃逸单引号,根据邮箱的结构分为local part和domain part两部分,而我们的domain part连接的是网址,所以没办法注入,但是我们的local part如果含有特殊字符,可以通过双引号将其包围比如(a'),最终是("a'")。而邮箱是用户名、Host、@三部分构成,所以我们可以这样构造,代码没对双引号进行过滤,所以用户名我们可以是"a,而我们的host为a'",最后构造成"aa'"@example.com就可以绕过邮箱,同时还带有单引号。

3.当我们利用burpsuit,修改用户名和host对我们的邮箱绕过后,提交后,发现他给我们报了404的问题,这是我们nginx在处理host的时候会将Host用冒号分割成hostname和port,port部分被丢,而我们构造的host没有hostname所以nginx不知到咋处理就出现了404,解决方法就是我们通过冒号(:)前面是我们访问的目标网站,后面构造成我们伪造的host,最后host被构造成(www.php.com:a'"@example.com),就让我们的mysql进行了报错,还有一种方法就是构造双host,比如(host:www.php.com host: a'"@example.com),其处理一样,将第一个访问后被nginx处理,第二个host会被我们的php接收。

4.进行注入,host头部为

Host: www.php.com

Host: '),('t123',md5(12123),(select(flag)from(flags)))#"@examle.com

完整的结果为 insert into users values('"a',abcdecdccd,'"a@ '),('t123',md5(12123),(select(flag)from(flages)))"@example.com')

第一个host为目标网址,第二个host的')是将前面用户密码进行闭合(用户名为"a,密码为123,邮箱为"@example),而('jiege',md5(12123),(select(flag)from(flags)))这个是用户名jiege,密码12123,邮箱是从flags拿出我们的flage,#是将我们多余的双引号进行注释掉,防止插入出现问题。

5.登陆我们插入的用户jiege,密码12123,之后就可以看到我们的flage。

Computer Virus
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx常见漏洞解析_nginx漏洞
2401_83947255的博客
04-12 1043
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
绕过Nginx Host限制
weixin_53284312的博客
02-12 2376
host 绕过限制
避开nginx获取客户端真实IP的方式
张斌的博客
04-25 1365
package com.niwodai.credit.loanswap.util; import javax.servlet.http.HttpServletRequest; public class GetIPUtil { public static String getIpAddr(HttpServletRequest request) { String ip = request....
nginx-host绕过的三种方式
weixin_42902697的博客
02-08 656
利用host进行注入时绕过nginxhost的错误处理
SNI生效条件 - 补充nginx-host绕过实例复现中SNI绕过的先决条件
好好睡觉
02-12 3235
SNI机制生效时间,SNI机制工作流程,SNI机制绕过host头需要的条件
nginx-host绕过实例复现
weixin_57385269的博客
02-16 287
(直接使用burp进行抓包,我们可以直接获取到这里的报错信息,显然SNI机制在这里起到了作用,原因就是我们在刚开始通信时就已经在协商阶段发送给服务器我们的HOST字段,后续的通信nginx不再依赖此字段。于是就导致了这里的注入回显。3,Nginx解析漏洞复现 第3和第2都是文件解析漏洞,只是利用的方式不同,第2利用方式为:1.png.php。2,Nginx 文件名逻辑漏洞(CVE-2013-4547) 主要原因是错误地解析了请求的URl
munin-nginx_request_time:用于Nginx请求时间的Munin插件
02-05
`munin-nginx_request_time`这个插件就是用Perl编写的,它与Munin的集成使得你可以实时监控Nginx的请求处理时间,包括平均时间、最大时间和最小时间等。 安装`munin-nginx_request_time`插件,你需要先确保你的系统...
nginx-1.19.3_nginx-http-flv-module.rar
09-01
标题中的"nginx-1.19.3_nginx-http-flv-module.rar"表明这是一个关于Nginx服务器的软件包,特别地,它包含了Nginx的1.19.3版本,并且已经集成了`nginx-http-flv-module`模块。这个模块是用于支持HTTP FLV(Flash ...
fastdfs-nginx-module_v1.16.tar.gz
02-09
1. 下载对应版本的fastdfs-nginx-module源码包,例如"fastdfs-nginx-module"。 2. 检查Nginx和FastDFS的版本,确保与fastdfs-nginx-module_v1.16兼容。 3. 解压源码包,进入目录进行编译配置,通常会执行`./...
fastdfs-nginx-module_master.zip
02-16
总结来说,`fastdfs-nginx-module-master.zip`提供的FastDFS-nginx-module是实现Nginx与FastDFS集成的重要桥梁,它简化了文件服务的部署和管理,提高了文件服务的性能。通过理解和掌握这个模块的使用,开发者可以...
Nginx负载均衡下的webshell连接与过滤绕过以及LD_PRELOAD利用
求大佬师傅带
08-14 632
Nginx负载均衡下的webshell连接与过滤绕过以及LD_PROLOAD利用
常见的上传绕过及解析漏洞
dust_hk的博客
01-21 3548
解析漏洞 一、Apache解析漏洞 (黑名单:进制上传的文件,比如.php.asp.jsp.aspx等) 比如上传一个黑名单之外的文件,如:abc.php.xxx.aaa.bbb 首先,网站会寻找.bbb的解析凡是,如果找不到就继续向前匹配,直到找到一个认识的后缀名,比如.php,然后就以.php的方式运行这个文件。 二、iis解析漏洞 iis6.0 1.当文件夹的名字以.asp,.asa,.ce...
技术分享|由于Nginx配置不当而导致内网资产暴漏
baidu_38876334的博客
03-30 657
当前有部分企业通常会在外网部署一些Nginx服务器,然后在Nginx中配置域名绑定。用户访问对应的域名,Nginx通过反向代理将对应的内网资源反馈给互联网上的用户,这样企业可以把服务器部署在自己的内网中,又可以让用户访问到一举两得。但是如果配置不当的话,一些不应该让用户访问到的资源,用户通过特殊的手段也可以访问到。运维人员无意中犯了一个错误,他把内网的管理系统和业务系统都用同一台nginx服务器进行反向代理,且这台服务器外网用户可以直接访问到。为了方便企业员工办公,运维人员同样给管理系统绑定了域名。
Nginx搭建静态资源web服务器、开启文件共享功能-Linux
watt的博客
02-05 3295
1. 启动nginx,准备好静态网页资源放至指定的目录 2.修改nginx.conf配置文件,指定端口,域名,路径等 [root@server /]#vim /usr/local/nginx/conf/nginx.conf server { listen 8080; #使用的端口 serv...
laravel 图片本地 实现前台访问_轻松搞定Laravel安装过程中的遇到常见异常问题?
weixin_40007804的博客
11-28 126
最近有小伙伴私信我说安装Laravel老是出现奇怪的报错,而且都是英文的,看不懂,为了帮助小伙伴们解决这些报错问题,也是非常耽搁时间,现在我专门发一篇文章总结一下Laravel安装常规错误详解,如果大家有这样的问题,请详细查看问题,帮助大家及时解决,本文安装laravel版本为Larave 7。前言:Laravel的安装方式有好几种,常用的安装方式:直接下载压缩文件安装、composer安装、gi...
文件上传漏洞? 看这一篇就够了-Nginx解析漏洞 修改后缀绕过前端验证 00%截断 安鸾靶场练习
AAAAAAAAAAAA66的博客
12-31 4504
靶场地址 首页 : 安鸾渗透实战平台 - 安鸾学院 目录 文件上传漏洞利用条件 Nginx解析漏洞 文件上传01 (绕过前端验证) 文件上传02 00%截断​ 文件上传漏洞利用条件 1.可以上传php文件,或者上传的文件可以被解析为php文件 2.可以找的到文件上传后的路径 Nginx解析漏洞 该漏洞与Nginxphp版本无关,属于用户配置不当造成的解析漏洞。 实际上就是由于判断文件后缀出现问题,导致我们可以添加一个/.php 后缀 使得系统解析图片木马为php文..
利用Nginxphp处理方式不同绕过Nginx_host实现SQL注入
最新发布
qq_68163788的博客
11-25 1086
Nginx是一款流行的开源Web服务器软件,它以其高性能和可靠性而闻名。Nginx可以用作反向代理服务器,负载均衡器和HTTP缓存等多种用途。 在Nginx中,虚拟主机(Virtual Host)是一种常见的配置方式。通过配置虚拟主机,可以将多个域名绑定到同一个服务器IP上,并根据不同的域名请求来响应不同的网站内容。这对于托管多个网站或提供多个服务的服务器非常有用。 要配置Nginx虚拟主机,首先需要编辑Nginx的配置文件。
请详细说明一下以下的nginx编译参数,包含其具体使用场景、每一项的可选值、每一项有与没有的区别。记得我要求是每项要非常详细的。 --prefix=${PATH_INSTALL}/nginx \ --user=nginx \ --group=nginx \ --with-http_ssl_module \ --with-http_realip_module \ --with-http_addition_module \ --with-http_sub_module \ --with-http_dav_module \ --with-http_flv_module \ --with-http_mp4_module \ --with-http_gunzip_module \ --with-http_gzip_static_module \ --with-http_stub_status_module \ --with-stream \ --with-stream_ssl_module \ --with-http_v2_module \ --with-pcre \ --with-openssl=/www/server/nginx/src/openssl \ --with-stream_ssl_preread_module \ --with-http_image_filter_module \ --with-ipv6 \ --with-ld-opt=-Wl,-E \ --with-cc-opt=-Wno-error \ --with-ld-opt=-ljemalloc \ --add-module=/www/server/nginx/src/ngx_devel_kit \ --add-module=/www/server/nginx/src/lua_nginx_module \ --add-module=/www/server/nginx/src/ngx_cache_purge \ --add-module=/www/server/nginx/src/ngx_http_substitutions_filter_module-master \ --add-module=/www/server/nginx/src/nginx-dav-ext-module
06-12
1. --prefix=${PATH_INSTALL}/nginx: --prefix 指定安装目录,${PATH_INSTALL}/nginx 为安装目录的路径。可选值为任意路径,根据实际需要进行设置。此参数会影响到 nginx 的安装位置,例如配置文件的位置、日志...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值