nginx文件類型錯誤解析漏洞

原創 6um1n 2020-02-26 01:58

漏洞介紹:Nginx ("engine x") 是一個高性能的 HTTP和反向代理服務器,Nginx作爲WEB服務器可以處理靜態文件,索引文件以及自動索引,能夠使用緩存加速反向代理,並提供簡單的負載均衡及容錯、模塊化的架構等功能。

PHP CGI 中 fix_pathinfo 引起的解析漏洞分析

這個安全問題最早被人所瞭解是通過國內安全組織80sec的一篇文章《nginx文件類型錯誤解析漏洞》,文章指出當Nginx配置FastCGI使用PHP時,會將諸如http://www.test.com/test.jpg/anything.php 這樣的請求,把test.jpg當作PHP文件來進行解析,而anything.php這個文件並不存在。實際上這並不是一個Nginx的漏洞,而是PHP5默認配置的缺陷造成的。

示例:


問題的本質是什麼呢?
比如, 下面的Nginx conf(Nginx配置文件):

location ~ \.php($|/) {
     fastcgi_pass   127.0.0.1:9000;
     fastcgi_index  index.php;
     set $script    $uri;
     set $path_info "";
     if ($uri ~ "^(.+\.php)(/.*)") {
          set  $script     $1;
          set  $path_info  $2;
     }
     include       fastcgi_params;
     fastcgi_param SCRIPT_FILENAME   $document_root$script;
     fastcgi_param SCRIPT_NAME       $script;
     fastcgi_param PATH_INFO         $path_info;
}
當我們發出http://www.test.com/test.jpg/anything.php這樣的請求時,通過“^(.+\.php)(/.*)”這段正則匹配後,SCRIPT_NAME會被設置爲“test.jpg/anything.php”,繼而構造成SCRIPT_FILENAME傳遞給整個PHP CGI,但是PHP又爲什麼會接受這樣的參數,並且把test.jpg解析了呢?問題就在於PHP的CGI SAPI中的參數cgi.fix_pathinfo這個參數了。
關於cgi.fix_pathinfo這個參數的描述:
; cgi.fix_pathinfo provides *real* PATH_INFO/PATH_TRANSLATED support for CGI.  PHP's
; previous behaviour was to set PATH_TRANSLATED to SCRIPT_FILENAME, and to not grok
; what PATH_INFO is.  For more information on PATH_INFO, see the cgi specs.  Setting
; this to 1 will cause PHP CGI to fix it's paths to conform to the spec.  A setting
; of zero causes PHP to behave as before.  Default is 1.  You should fix your scripts
; to use SCRIPT_FILENAME rather than PATH_TRANSLATED.
cgi.fix_pathinfo=1
      上述描述了默認情況cgi.fix_pathinfo的值爲1,那麼如果開啓了這個選項,就會觸發在PHP中的如下邏輯:
/*
 * if the file doesn't exist, try to extract PATH_INFO out
 * of it by stat'ing back through the '/'
 * this fixes url's like /info.php/test
 */
if (script_path_translated &&
     (script_path_translated_len = strlen(script_path_translated)) > 0 &&
     (script_path_translated[script_path_translated_len-1] == '/' ||
....//以下省略

PHP CGI 以 / 爲分隔符號從後向前依次檢查路徑,當檢測到test.jpg/anything.php時,PHP會認爲SCRIPT_FILENAME是test.jpg, 而anything.php是PATH_INFO, 然後PHP就把test.jpg當作一個PHP文件來解釋執行。

在很多使用 php-fpm (<0.6) 的主機中也會出現這個問題,但新的 php-fpm 的已經關閉了 cgi.fix_pathinfo。

提示:可使用copy命令製作圖片木馬,如copy a.jpg/b+a.txt/a b.gif

本文摘自:合天網安實驗室

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

WEB安全——文件上傳

通過burpsuite抓包上傳webshell 先上傳正常圖片; 通過抓包獲得上傳頁面的url以及cookie; 通過明小子的綜合上傳功能上傳webshell;   IIS解析漏洞: 1.如果一個目錄以“xxx.asp”的形式命名,那麼該

gam0n 2020-07-08 11:53:40

白帽子學習筆記——瀏覽器安全

同源策略: 影響源的因素有host(域名或IP地址,如果是IP地址則看作一個根域名)、子域名、端口、協議; 在瀏覽器中,<script>,<img>,<iframe>,<link>等標籤都是可以跨域加載資源,不受同源策略影響, 這些帶"s

gam0n 2020-07-08 11:53:40

[GXYCTF2019]BabySQli

看了大佬的博客,勉強整出來了,詳細的寫一下我的思路。 錯誤思路: 觀察發現是post傳值,想用sqlmap一把嗦,BP抓包=>sqlmap 得到數據庫:web_sqli 表:user 字段:passwd 得到密碼是cdc9c81

imbia 2020-07-08 02:36:55

WEB程序防SQL注入攻擊程序

場景: WEB程序容易被SQL注入攻擊,攻擊原理是在請求參數中傳入非法字符,造成SQL語句出現出現異常情況,已達到攻擊者想要的結果。 分析: 一般的攻擊者都是在傳入的請求參數上做文章,所以我們重點檢查的是request的參數,判斷requ

成都好男人 2020-07-06 07:55:56

Emlog漏洞 | EMLOG博客系統存在暴力破解漏洞

漏洞簡介:Emlog博客系統默認後臺登陸地址爲http://域名/admin/login.php而後臺登陸時,錯誤情況下,驗證碼未刷新,導致可暴力破解登陸管理員賬號低危漏洞,但是在emlog5.3.1和6.0測試版本均存在 漏洞成因: 同

dyboy2017 2020-07-03 05:38:40

PhpMyadmin後臺拿webshell方法總結

前言: phpmyadmin後臺拿webshell的方法主要分爲兩個方法: (1) 、通過日誌文件拿webshell; (2) 、利用日誌文件寫入一句話;(這個方法可能在實際操作中會遇到困難); 本地搭建環境: Phpmystudy 20

浅笑⁹⁹⁶ 2020-07-01 17:17:22

phpMyAdmin跨站點請求僞造漏洞

CVE-2019-12922 phpMyAdmin 4.9.0.1-跨站請求僞造漏洞復現 0X01 漏洞概述 安全研究人員Manuel Garcia Cardenas近日公佈了最常用的管理MySQL和MariaDB數據庫的應用程

tdcoming 2020-06-30 05:42:46

[漏洞復現]Apache Solr Velocity模板遠程代碼執行

Apache Solr Velocity模板遠程代碼執行 0X00 漏洞描述 近日,國外安全研究員s00py公開了一個Apache Solr的Velocity模板注入的漏洞.該漏洞可以攻擊最新版本的Solr.目前該漏洞利用詳情已

tdcoming 2020-06-30 05:42:46

中國菜刀的簡單使用

簡介 說到菜刀,普通人肯定想到家裏切菜的菜刀,而對於程序員來說,首先想到的卻是一款功能強大的webshell管理工具。中國菜刀小巧實用,具有文件管理,數據庫管理,虛擬終端等功能,支持PHP,ASP的服務端腳本。 簡單使用 新建一

abtgu 2020-06-28 09:00:08

XSS,CSRF,SQL注入

目錄 XSS CSRF SQL注入 XSS XSS:跨站腳本攻擊,Cross-Site Scripting,爲了和前端的css避免重名,簡稱爲XSS,是指通過技術手段,向正常用戶請求的HTML頁面中插入惡意腳本,執行。 這種攻

zoyoy 2020-06-24 15:48:35

【HTB】Craft Machines Writeup

0x00 靶機信息 0x01 信息收集 使用nmap掃描靶機端口: 只開了兩個端口,直接訪問https://10.10.10.110,得到如下界面: 沒有進一步的暗示,再查看頁面源碼,得到如下兩個域名: https://a

Tr@cer 2020-06-21 23:10:38

WEB安全小結

前言 ​ 前一段時間接觸了一下web安全的實訓。。。(笑)。痛定思過,這裏總結一下自己對於WEB安全的認識 ​ 目錄 前言 目錄 目前常見的安全性問題 1、SQL注入 1、原理 2、具體實現過程 2、xss攻擊 3、csrf令牌攻擊 4、

weixin_43312108 2020-06-20 13:07:13

一直都想總結一下自己遇到過的web安全方面的問題--2015-03-31

2013年的時候,在一個項目中遇到了很多關於WEB安全方面的問題,由於我也是個挨踢新人,沒有解決這方面問題的能力,一直都很想把當時的問題記錄下來,但是一直拖到了現在都還沒有去寫。說忙也是藉口。

ivan0609 2020-06-20 09:30:42

數據庫管理系統對SQL注入的影響

Why 首先說明爲什麼不同呢?不同數據庫管理系統基本的SQL語句相同,但是支持的某些函數,數據庫的整體結構和組織方式是不相同的。比如mysql數據庫中特有的information_schema數據庫,裏面存有所有的數據庫名稱,以及各個數據

duangduang2020 2020-06-20 04:55:47

面試官:講一下 https 和 http 的區別

面試官:講一下 https 和 http 的區別 “時無重至,華不再陽” 01 前言 因爲http協議傳輸的數據都是以明文的形式傳輸的,內容沒有經過加密操作,這就造成了傳輸不安全的情況。如果傳輸的數據中存在着銀行卡,身份證

Alan-wu 2020-06-19 10:57:12