文件解析漏洞总结-Nginx

最新推荐文章于 2024-01-29 18:17:44 发布
最新推荐文章于 2024-01-29 18:17:44 发布
阅读量3.3w 收藏 41
点赞数 9
分类专栏: 安全 文章标签: nginx 文件解析漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wn314/article/details/77388289/
版权

与Apache相比,Nginx算是后起之秀,但大有赶超之势。百度一番,又谷歌一番,最终只找到了三个已公开的、关于Nginx的解析漏洞,记录如下。

Nginx中php配置错误导致的解析漏洞

利用方式:

  /test.jpg/test.php

测试:

首先准备文件test.jpg,内容为:

  <?php phpinfo() ?>

在浏览器中访问 http://127.0.0.1/test.jpg 显示图片解析错误。在浏览器中访问 http://127.0.0.1/test.jpg/test.php ,显示:“Access denied.” 。这就有意思了,test.jpg是文件不是目录,test.php更是根本就不存在的文件,访问/test.jpg/test.php没有报404,而是显示“Access denied.” 。

Nginx拿到文件路径(更专业的说法是URI)/test.jpg/test.php后,一看后缀是.php,便认为该文件是php文件,转交给php去处理。php一看/test.jpg/test.php不存在,便删去最后的/test.php,又看/test.jpg存在,便把/test.jpg当成要执行的文件了,又因为后缀为.jpg,php认为这不是php文件,于是返回“Access denied.”。

这其中涉及到php的一个选项:cgi.fix_pathinfo,该值默认为1,表示开启。开启这一选项有什么用呢?看名字就知道是对文件路径进行“修理”。何谓“修理”?举个例子,当php遇到文件路径“/aaa.xxx/bbb.yyy/ccc.zzz”时,若“/aaa.xxx/bbb.yyy/ccc.zzz”不存在,则会去掉最后的“/ccc.zzz”,然后判断“/aaa.xxx/bbb.yyy”是否存在,若存在,则把“/aaa.xxx/bbb.yyy”当做文件“/aaa.xxx/bbb.yyy/ccc.zzz”,若“/aaa.xxx/bbb.yyy”仍不存在,则继续去掉“/bbb.yyy”,以此类推。

该选项在配置文件php.ini中。若是关闭该选项,访问 http://127.0.0.1/test.jpg/test.php 只会返回找不到文件。但关闭该选项很可能会导致一些其他错误,所以一般是开启的。

目前我们还没能成功执行代码,因为新版本的php引入了“security.limit_extensions”,限制了可执行文件的后缀,默认只允许执行.php文件。来做进一步测试。找到php5-fpm配置文件php-fpm.conf,若不知道在哪,可用如下命令搜索:

  sudo find / -name php-fpm.conf

我的测试环境中,该文件位于/etc/php5/fpm/php-fpm.conf。修改该文件中的“security.limit_extensions”,添加上.jpg,添加后如下所示:

  security.limit_extensions = .php .jpg

这样,php便认为.jpg也是合法的php文件后缀了,再在浏览器中访问 http://127.0.0.1/test.jpg/test.php ,看到php被成功执行,如下图所示:

php代码被成功执行

由上述原理可知,http://127.0.0.1/test.jpg/test.xxx/test.php 也是可以执行的。

上面的测试均在Nginx1.4.6中进行。这一漏洞是由于Nginx中php配置不当而造成的,与Nginx版本无关,但在高版本的php中,由于“security.limit_extensions”的引入,使得该漏洞难以被成功利用。

为何是Nginx中的php才会有这一问题呢?因为Nginx只要一看URL中路径名以.php结尾,便不管该文件是否存在,直接交给php处理。而如Apache等,会先看该文件是否存在,若存在则再决定该如何处理。cgi.fix_pathinfo是php具有的,若在php前便已正确判断了文件是否存在,cgi.fix_pathinfo便派不上用场了,这一问题自然也就不存在了。(2017.08.15:IIS在这一点和Nginx是一样的,同样存在这一问题)

做个小实验,分别访问两个不存在的文件123123.xxx和123123.php,虽然都返回404,但一看页面,也该知这两个文件的处理流程是不同的。

下图是访问123123.xxx的结果,404由Nginx给出:

不存在的普通文件

下图是访问123123.php的结果,404页面和上图不同:

不存在的php文件

查看错误日志,找到了:

  FastCGI sent in stderr: "Primary script unknown" while reading response header from upstream, client: 127.0.0.1, server: localhost, request: "GET /123123.php HTTP/1.1", upstream: "fastcgi://unix:/var/run/php5-fpm.sock:", host: "127.0.0.1"

由此可知Nginx确实只看了后缀就直接把123123.php交给php处理了,这一文件不存在也是php做出的判断。

%00截断

影响范围:

  0.5., 0.6., 0.7 <= 0.7.65, 0.8 <= 0.8.37 ?

利用方式:

  /test.jpg%00.php

测试:

服务器为Nginx1.4.6,浏览器中访问 http://127.0.0.1/test.jpg%00.php ,返回“400 Bad Request”,代码未执行,测试失败。实在是安不好又找不到这么老的Nginx,遂放弃测试。

%00截断似乎是一个大类,什么时候有空专门研究下。

CVE-2013-4547

CVE-2013-4547是一个还算新的漏洞,影响范围也比较大:

  0.8.41~1.4.3, 1.5 <= 1.5.7

顺便一提,截止本文写作时,Nginx的最新版本是1.13.4 。

这一漏洞的原理是非法字符空格和截止符(\0)会导致Nginx解析URI时的有限状态机混乱,危害是允许攻击者通过一个非编码空格绕过后缀名限制。是什么意思呢?举个例子,假设服务器上存在文件:“file.aaa ”,注意文件名的最后一个字符是空格。则可以通过访问:

http://127.0.0.1/file.aaa \0.bbb

让Nginx认为文件“file.aaa ”的后缀为“.bbb”。

来测试下,这次测试在Nginx/1.0.15中进行。首先准备一张图片,命名为“test.html ”,注意,文件名含有空格。然后在浏览器中访问该文件,会得到一个404,因为浏览器自动将空格编码为%20,服务器中不存在文件“test.html%20”。

测试目标是要让Nginx认为该文件是图片文件并正确地在浏览器中显示出来。我们想要的是未经编码的空格和截止符(\0),怎么办呢?使用Burp Suite抓取浏览器发出的请求包,修改为我们想要的样子,原本的URL是:http://192.168.56.101/test.htmlAAAphp ,将第一个“A”改成“20”(空格符号的ASCII码),将第二个“A”改成“00”(截止符),将第三个“A”改成“2e”(“.”的ASCII码),如下图所示:

修改请求

修改完毕后Forward该请求,在浏览器中看到:

成功显示图片

我们已经成功地利用了漏洞!但这有什么用呢?我们想要的是代码被执行。

继续测试,准备文件“test.jpg ”,注意文件名的最后一个字符是空格,文件内容为:

  <?php phpinfo() ?>

用Burp Suite抓包并修改,原本的URL是:http://192.168.56.101/test.jpg…php ,将jpg后的第一个“.”改为20,第二个“.”改为00,如下图所示:

修改请求

修改完毕后Forword该请求,在浏览器中看到:

  Access denied.

好吧,又是这个。打开Nginx的错误日志,在其中也可以看到:

  FastCGI sent in stderr: "Access to the script '/usr/local/nginx/html/test.jpg ' has been denied (see security.limit_extensions)" while reading response header from upstream, client: 192.168.56.102, server: localhost, request: "GET /test.jpg .php HTTP/1.1", upstream: "fastcgi://unix:/var/run/php5-fpm.sock:", host: "192.168.56.101"

这说明Nginx在接收到这一请求后,确实把文件“test.jpg ”当做php文件交给php去执行了,只是php看到该文件后缀为“.jpg ”而拒绝执行。这样,便验证了Nginx确实存在该漏洞。

但不知为何,不管我怎样设置,php都不肯把“test.jpg ”当做php文件执行。看来“security.limit_extensions”威力强大,一招破万法。

CVE-2013-4547还可以用于绕过访问限制,虽然和文件解析漏洞无关,但也记录在这里。

首先在网站根目录下新建一个目录,命名为protected,在目录protected中新建文件s.html,内容随意。然后在Nginx的配置文件中写上:

  location /protected/ {
    deny all;
  }

以禁止该目录的访问。接着在网站根目录下新建一个目录,名为“test ”,目录名的最后一个字符是空格,该目录用于触发漏洞。最后来进行验证,直接访问:

  http://127.0.0.1/protected/s.html

返回“403 Forbidden”。利用漏洞访问:

  http://127.0.0.1/test /../protected/s.html

成功访问到文件s.html。注意上示URL中的空格,不要将空格编码。

为成功利用漏洞,我们在测试中准备了名字以空格结尾的文件和目录,这是因为在linux中,文件名是可以以空格结尾的。若不准备这样的文件,漏洞可以成功触发,但结果却是404,找不到类似“test.jpg ”这样的文件。而在Windows中,文件名不能以空格结尾,所以Windows程序遇到文件名“test.jpg ”会自动去掉最后的空格,等同于访问“test.jpg”,基于这样的原因,这一漏洞在Windows中会很容易利用。

附:编译安装Nginx

为验证漏洞,需要安装Nginx。为安装有漏洞的版本,不使用apt-get,而是编译安装。我使用的操作系统是Ubuntu14.04,安装了nginx-1.0.15,需要安装以下依赖:

  sudo apt-get install libpcre3 libpcre3-dev
  sudo apt-get install zlib1g.dev
  sudo apt-get install libssl-dev

还要安装php:

  sudo apt-get install php5-fpm

后来发现,在新安装的Ubuntu14.04中,不先update直接用:

  sudo apt-get install nginx

安装的Nginx的版本是1.4.6,也不是很新。还想要安装更老版本的Nginx(<= 0.8.37)结果总是编译失败,只好放弃。

要开启Nginx对php的支持,去掉配置文件中关于php的注释并重启Nginx即可:

  location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    #   # NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini
    #
    #   # With php5-cgi alone:
    #   fastcgi_pass 127.0.0.1:9000;
    #   # With php5-fpm:
    fastcgi_pass unix:/var/run/php5-fpm.sock;
    fastcgi_index index.php;
    include fastcgi_params;
  }

配置时还遇到许多问题,但只要翻阅错误日志,知道是什么问题,便可对症下药,一一解决。若不知道问题是什么,只看到个400、500,这样子是很难解决问题的。

Werneror
关注
  • 9
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
FastCGI sent in stderr: "Access to the script 'XXX' has been denied (see security.limit_extensions)"
阅读之后,对你有帮助,那就点个赞再走吧
01-08 1926
一个新Lnmp环境在调试项目时出现如下报错: 处理: 在php.ini中设置cgi.fix_pathinfo=1(默认为0),重新加载php即可。
prometheus-nginxlog-exporter:将指标从Nginx访问日志文件导出到Prometheus
05-01
NGINX到Prometheus日志文件导出器 不断读取NGINX日志文件(或任何类似日志文件)并将度量导出到帮助程序工具。 内容 配置文件 高级功能 命名空间作为标签 自定义标签直通 日志来源 动态重新贴标签 文件球 JSON log_format 经常问的问题 学分 用法 您可以使用简单的配置(使用命令行标志),也可以使用更高级的配置创建配置文件。 使用命令行: $ ./prometheus-nginxlog-exporter \ -format="<FORMAT>" \ -listen-port=4040 \ -namespace=nginx \ [PATHS-TO-LOGFILES...] 使用配置文件: $ ./prometheus-nginxlog-exporter -config-file /path/to/config.hcl 您可
Nginx解析漏洞复现
钟言的博客
01-28 1万+
本篇为Nginx解析漏洞复现,详细内容包含了搭建环境 复现过程 漏洞原理及防范同时包含了配置过程中出现的问题以及解决方案等等。
Nginx 报错 Access to the script & access denied
weixin_30849591的博客
08-05 611
目录 报错内容 解决 what is fix_pathinfo? 报错内容 浏览器显示: access denied nginx log: 2019/08/01 19:34:19 [error] 75571#0: *29 FastCGI sent in stderr: ...
Nginx下出现Access denied (403) see security.limit_extensions错误的解决方法
热门推荐
没有用户名的博客
03-14 1万+
今天在vagrant + lnmp中使用phalcon命令初始化项目后,访问页面一直出现Access denied; 而Nginx的错误日志则一直是”Access to the script ‘xxx’ has been denied (see security.limit_extensions)…”,最后终于在stackoverflow上找到了解决方法: 在你php-fpm配置文件php-
nginx error.log 提示 [error] 887#887: *58 FastCGI sent in stderr: "PHP message: PHP Warning: mysql_co...
weixin_30657541的博客
12-14 355
0. 1.问题 1.1现象: nginx error.log 提示 [error] 887#887: *58 FastCGI sent in stderr: "PHP message: PHP Warning: mysql_connect(): Headers and client library minor version mismatch. Headers:50556 Library:...
【PHP】Docker+Nginx+PHP环境部署报FastCGI sent in stderr: “Primary script unknown“ while reading...错
不纯正的逼格的专栏
01-29 383
【代码】【PHP】FastCGI sent in stderr: “Primary script unknown“ while reading。
通过nginx访问.html出现Access Denied提示怎么解决(亲测)
gb4215287的博客
04-29 1431
文件/usr/local/nginx/logs/error.log FastCGI sent in stderr: "Access to the script '/var/www/html//phpmyadmin/setup/styles.css' has been denied (see security.limit_extensions)" 打开日志发现会出现security.limit_...
ingress-nginx-controller-1.9.yaml
10-18
三处image需要修改(若官方deplo.yaml中的image可以拉取,则不需要改image),另两个文件是测试ingress规则是否生效的yaml。
headers-more-nginx-module-0.34
08-10
headers-more-nginx-module-0.34
lua-nginx-module-0.10.13
07-18
lua-nginx-module-0.10.13
ingress-nginx-controller(含镜像和代码).rar
10-28
这个使用方法去这篇博客:https://cuichongxin.blog.csdn.net/article/details/120184717
fastdfs-nginx-module-1.20.zip
02-09
亲测可用,一定要对应版本
fastdfs-nginx-module.zip
03-22
fastdfs分布式文件系统搭建需要的插件,该插件用于编译nginx的安装,nginx添加的一个模块,用于http访问fastdfs资源。
fastdfs-nginx-module-正版V1.19-亲测可用 .zip
02-09
亲测可用,一定要fdfs对应版本
fastdfs-nginx-module-1.22.zip
02-09
亲测可用,一定要fdfs对应版本
最新版linux fastdfs-nginx-module-1.22.tar.gz
04-16
最新版linux fastdfs-nginx-module-1.22.tar.gz
lua-nginx-module-digest:lua-nginx-module源代码学习,解析总结-lua source code
03-25
学习lua-nginx模块 目录 阶段 init_worker_by_lua access_by_lua content_by_lua filter_by_lua log_by_lua api ngx.ctx ngx.var.VARIABLES ngx.sleep 其他 其他
gridfs-nginx-plugin
07-26
gridfs-nginx-plugingridfs-nginx-plugingridfs-nginx-plugingridfs-nginx-plugingridfs-nginx-plugingridfs-nginx-plugingridfs-nginx-plugingridfs-nginx-plugingridfs-nginx-plugingridfs-nginx-plugingridfs-...
nginx和fastDFS-nginx-module怎么搭建
最新发布
03-19
nginx是一个高性能的开源Web服务器和反代理服务器,它可以处理大量的并发连接,并具有低内存消耗。fastDFS-nginx-module是一个用于将Nginx与FastDFS分布式文件系统集成的模块。 要搭建nginx和fastDFS-nginx-module,可以按照以下步骤进行操作: 1. 安装Nginx:首先,需要安装Nginx服务器。可以通过包管理器(如apt、yum等)或从Nginx官方网站下载源码进行安装。 2. 安装FastDFS:接下来,需要安装FastDFS分布式文件系统。可以从FastDFS官方网站下载源码进行安装。安装过程中需要配置Tracker服务器和Storage服务器。 3. 下载fastDFS-nginx-module:在安装Nginx之前,需要下载fastDFS-nginx-module模块。可以从GitHub上找到该模块的源码,并将其下载到本地。 4. 配置Nginx:在Nginx的安装目录下,找到nginx.conf文件,并进行配置。在http模块中添加如下配置项: ``` location /group1/M00 { ngx_fastdfs_module; } ``` 5. 编译安装Nginx:使用命令行进入Nginx源码目录,执行以下命令进行编译和安装: ``` ./configure --add-module=/path/to/fastDFS-nginx-module make make install ``` 6. 启动Nginx和FastDFS:启动Nginx和FastDFS服务,确保它们正常运行。 至此,你已经成功搭建了nginx和fastDFS-nginx-module。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值