!
也想出现在这里? 联系我们
广告位
当前位置:首页>安全咨询>漏洞复现>漏洞复现什么意思(分享安全漏洞的复现与总结)

漏洞复现什么意思(分享安全漏洞的复现与总结)

Nginx简介

Nginx(engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。

Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。

其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。

Nginx环境安装

这里我用的小皮代替,就不一步步安装了

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

Nginx渗透

为了感谢广大读者伙伴的支持,准备了以下福利给到大家:

【一>所有资源关注我,私信回复“资料”获取<一】1、200多本网络安全系列电子书(该有的都有了)2、全套工具包(最全中文版,想用哪个用哪个)3、100份src源码技术文档(项目学习不停,实践得真知)4、网络安全基础入门、Linux、web安全、攻防方面的视频(2021最新版)5、网络安全学习路线(告别不入流的学习)6、ctf夺旗赛解析(题目解析实战操作)

文件解析漏洞

漏洞描述

该漏洞与nginx、php版本无关,属于用户配置不当造成的解析漏洞。由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,对于任意文件名,在后面添加/xxx.php(xxx)为任意字符后,即可将文件作为php解析。

常见的漏洞配置:

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

漏洞复现

新建一个1.jpg写入phpinfo

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

1.jpg后面加上/xxx.php,便会以php解析

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

当访问/1.jpg/xxx.php时,nginx将查看url,看到它以.php结尾,将路径传给PHP fastcgi进行处理。但是fastcgi在处理’xxx.php’文件时发现文件并不存在,这时php.ini配置文件中cgi.fix_pathinfo=1 发挥作用,这项配置默认开启,值为1,用于修复路径,如果当前路径不存在则采用上层路径。

为此这里交由fastcgi处理的文件就变成了’/1.jpg’。新版本的php的配置文件php-fpm.conf引入了“security.limit_extensions”,限制了可执行文件的后缀,默认只允许执行.php文件。

修复方法

1、 将php.ini文件中的cgi.fix_pathinfo的值设置为0

2、 php-fpm.conf中的security.limit_extensions后面的值设置为.php

目录遍历

漏洞原理

Nginx的目录遍历与apache一样,属于配置方面的问题,错误的配置可导致目录遍历与源码泄露。

漏洞复现

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

在www目录下新建一个web目录测试

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

修复方法

修复on改为off即可。

空字节任意代码执行漏洞

漏洞原理

Ngnix在遇到%00空字节时与后端FastCGI处理不一致,导致可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码.

影响版本

nginx 0.5.* nginx 0.6.* nginx 0.7 <= 0.7.65 nginx 0.8 <= 0.8.37

漏洞复现

这里复现环境是Nginx 0.7.65+php 5.3.2,这里需要电脑上有.net framework4的环境。

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

在nginx目录下执行startup.bat

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

建立1.jpg,写入

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

访问1.jpg…php,抓包

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

在hex选项卡中将jpg后面的点修改为00

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

成功绕过。

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

forward一下

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

该漏洞不受cgi.fix_pathinfo影响,其为0也能解析。

修复方法

升级nginx版本。

CRLF注入漏洞

漏洞原理

CRLF是”回车+换行”(rn)的简称,其十六进制编码分别为0x0d和0x0a。在HTTP协议中,HTTP header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。

所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。CRLF漏洞常出现在Location与Set-cookie消息头中。

在nginx.conf中,在location位置添加如下配置,当用户访问nginx服务器时此配置实现强制跳转到https协议访问之前访问的链接。

location / { return 302 https://$host$uri; }

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

1.是配置中的$url是我们可以控制的,这样我们就可以在$url处填入CRLF,然后对服务器进行访问实现头部注入。 2.服务器会返回一个302跳转给用户,所以我们注入的头部参数又会返回到客户这边。

漏洞复现

修改完上面nginx.conf配置后,重启nginx;

(换行和回车的URL编码分别是%0d%0a)

抓包,可以看到将6666通过set-cookie返回;

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

CRLF+XSS配合:

%0D%0A%0D%0A%3Cimg%20src=1%20onerror=alert(/xss/)%3E

漏洞复现什么意思(分享安全漏洞的复现与总结)

 

不过这里浏览器并没有弹窗,那是因为浏览器filter对xss特征进行了过滤,这里用低版本浏览器才可以弹出来。

修复方法

删除配置不当的配置。

文件名逻辑漏洞(CVE-2013-4547)

漏洞原理

当请求如下URI时:/test[0x20]/…/admin/index.php,这个URI不会匹配上location后面的/admin/,也就绕过了其中的IP验证;但最后请求的是/test[0x20]/…/admin/index.php文件,也就是/admin/index.php,成功访问到后台。(这个前提是需要有一个目录叫test:这是Linux系统的特点,如果有一个不存在的目录,则即使跳转到上一层,也会爆文件不存在的错误,Windows下没有这个限制)。

给TA打赏
共{{data.count}}人
人已打赏
漏洞复现

漏洞复现是什么意思(网络安全漏洞复现与分析)

2022-7-17 17:29:55

漏洞复现

漏洞复现什么意思(分享渗透测试之中间件漏洞复现)

2022-7-24 15:56:54

声明 本站上的部份代码及教程来源于互联网,仅供网友学习交流,若您喜欢本文可附上原文链接随意转载。无意侵害您的权益,请发送邮件至 admin@s9h.cn 或点击右侧 私信:少羽 反馈,我们将尽快处理。
0 条回复A文章作者M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索