nginx文件类型错误解析漏洞

最新推荐文章于 2025-01-06 21:14:30 发布
原创 最新推荐文章于 2025-01-06 21:14:30 发布 · 387 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #php #web服务 #服务器 #date #cgi

本文揭示了NGINX在默认配置下可能导致任意文件被误解析为PHP的问题,这一漏洞可让攻击者利用并控制服务器。文章详细分析了漏洞产生的原因,并提供了相应的缓解措施。

洞介绍:nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题,默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持php的nginx服务器。

漏洞分析:nginx默认以cgi的方式支持php的运行,譬如在配置文件当中可以以

location ~ /.php$ {

root html;

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;

include fastcgi_params;

}

的方式支持对php的解析,location对请求进行选择的时候会使用URI环境变量进行选择,其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定,而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的,这里就是产生问题的点。而为了较好的支持PATH_INFO的提取,在PHP的配置选项里存在cgi.fix_pathinfo选项,其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.80sec.com/80sec.jpg,我们以如下的方式去访问

POC: 访问一个nginx来支持php的站点,在一个任何资源的文件如robots.txt后面加上/80sec.php,这个时候你可以看到如下的区别:

访问http://www.80sec.com/robots.txt

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes

访问访问http://www.80sec.com/robots.txt/80sec.php

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6

其中的Content-Type的变化说明了后端负责解析的变化,该站点就可能存在漏洞。

漏洞厂商:http://www.nginx.org

解决方案:

你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

或者

if ( $fastcgi_script_name ~ /..*//.*php ) {
return 403;
}

cisco3101523
关注
利用 Nginx 畸形解析漏洞 getshell
weixin_45253622的博客
12-09 3827
Nginx Nginx 是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好。 漏洞描述: 对于任意文件名,在后面添加/xxx.php(xxx为任意字符)后,即可将文件作为php解析。 例:info.jpg后面加上/xxx.php,会将info.jpg 以php解析漏洞原理: 查看 nginx 配置文件: cd /home/ch1/Desktop
文件解析漏洞-iis
m0_63944205的博客
07-30 1037
用windowserver2003安装IIS测试。
Nginx 解析漏洞
qq_46081990的博客
05-28 1398
这是由于 Nginx 把以 .php 结尾的文件交给 fastcgi 处理,但 fastcgi 处理的时候发现并没有这个文件,于是 fastcgi 会继续向上查找,然后找到了上级文件 .jpg,于是就把 .jpg 当作 PHP 文件处理,导致漏洞产生。1、 将 php.ini 文件中的配置项 cgi.fix_pathinfo 的值设置为 0,这样 PHP 解析 webshell.jpg/1.php 这样的目录时,只要 1.php 不存在就会显示404页面。分析文件上传页面 index.php 源码。
Nginx详解,漏洞复现,基线检查
qq_66934029的博客
01-06 2033
我们常说的代理也就是只正向代理,正向代理的过程,它隐藏了真实的请求客户端,服务端不知道 真实的客户端是谁,客户端请求的服务都被代理服务器代替来请求,某些科学上网工具扮演的就是典型 的正向代理角色。示例5:禁止对于特定目录的所有访问,注意给目录设置时要把目录后面的 / 加上,否则会出现意料之外的匹 配,如给 /test/ 目录设置时如果没写最后的 / 那么他会匹配到 /test、/test1、/testuser 等等的 以 /test 开头的内容。确保你的Nginx服务器运行的是最新版本。
Nginx文件类型错误解析漏洞--攻击演练》 (转)
weixin_34126557的博客
04-03 155
今天看书看到其中提到的一个漏洞,那就是Nginx+PHP服务器中,如果PHP的配置里 cgi.fix_pathinfo=1 那么就会产生一个漏洞。这个配置默认是1的,设为0会导致很多MVC框架(如Thinkphp)都无法运行。这个漏洞就是比如 localhost/img/1.jpg 是正常地访问一张图片,而 localhost/img/1.jpg/1.php 却会把这张图片作为PHP文件来执行!...
文件上传漏洞-07】中间件文件解析漏洞概述及实例——Apache、IIS和Nginx
m0_64378913的博客
07-12 3824
(1)第一种:未知扩展名解析漏洞 Apache对文件解析主要是从右到左开始判断并进行解析,如果判断为不能解析的类型,则继续向左进行解析,如xx.php.wer.xxxxx将被解析PHP类型。(2)第二种:局部配置 通过htaccess文件进行局部配置,定义不同文件名及后缀解析方式。参考《【文件上传漏洞-06】.htaccess攻击实验(基于upload-labs-4靶场)》(1)加深理解Apache的两种解析漏洞原理; (2)掌握两种解析漏洞的检测及绕过方法。靶场:基于WAMP环境的...
Nginx解析漏洞测试
09-19
Nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作...默认情况下可能导致服务器错误的将任何类型的文件PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持phpnginx服务器
记一次Nginx解析漏洞复现--文件类型后门测试
Chris_HackFromCN的博客
08-24 708
Do what you said,say what you can do 做你说过的,说你能做的 目录 1.什么是解析漏洞 2.在没有解析漏洞的网站上传文件后门 3.在存在解析漏洞Nginx服务器上上传文件后门 4.总结 1.什么是解析漏洞解析漏洞是指服务器应用程序在解析某些精心构造的后缀文件时,会将其解析成网页脚本,从而导致网站沦陷的一种漏洞。 2.在没有解析漏洞的网站上传文件后门 (1)工具:phpstudy、火狐浏...
Nginx文件类型错误解析漏洞--攻击演练
weixin_33896726的博客
04-03 179
今天看书看到其中提到的一个漏洞,那就是Nginx+PHP服务器中,如果PHP的配置里 cgi.fix_pathinfo=1 那么就会产生一个漏洞。这个配置默认是1的,设为0会导致很多MVC框架(如Thinkphp)都无法运行。这个漏洞就是比如 localhost/img/1.jpg 是正常地访问一张图片,而 localhost/img/1.jpg/1.php 却会把这张图片作为PHP文件来执行!...
解决Nginx文件类型错误解析漏洞的方法(摘)
07-21 345
QZone Editor 80Sec 爆出Nginx具有严重的0day漏洞,详见《Nginx文件类型 错误解析漏洞》。只要用户拥有上传图片权限的Nginx+PHP服务器,就有被入侵的可能。 其实此漏洞并不是Nginx的漏 洞,而是PHP PATH_INFO的漏洞,详见:http://bugs.php.net/bug.php?id=50852&amp...
Nginx解析漏洞
1ance's blog
07-24 1352
Nginx解析漏洞漏洞原理影响复现环境利用修复 漏洞原理 当访问路径为test.png/noexist.php时。 fastcgi在处理’.php文件时发现文件并不存在,这时php.ini配置文件cgi.fix_pathinfo=1 发挥作用,这项配置用于修复路径,如果当前路径不存在则采用上层路径。为此这里交由fastcgi处理的文件就变成了’/test.png’。 最重要的一点是php-fpm.conf中的security.limit_extensions配置项限制了fastcgi解析文件的类型(即
[转]再提供一种解决Nginx文件类型错误解析漏洞的方法
renziming的专栏
06-01 526
<br />本文转自:http://blog.s135.com/nginx_0day/<br />昨日,80Sec 爆出Nginx具有严重的0day漏洞 ,详见《Nginx文件类型 错误解析漏洞 》。只要用户拥有上传图片权限的Nginx+PHP服务器,就有被入侵的可能。<br />其实此漏洞 并不是Nginx的漏 洞,而是PHP PATH_INFO的漏洞 ,详见:http://bugs.php.net/bug.php?id=50852&edit=1<br />例如用户上传了一张照片,访问地址为htt
WEBSHELL姿势之nginx文件类型错误解析漏洞实例
forbidd3n,keep going
10-11 1896
关于nginx文件类型错误解析可参看我的上一篇文章 已知测试系统存在nginx文件类型错误解析漏洞,我们要找的就是一个图片上传点。 于是我们找一个回帖处的上传附件,这里先介绍一下制作木马图片 图片任取一张(有时不同格式的图片,可能运行有差异,jpg、png、gif都可以试试) 至于一句话木马,网上各种变异也很多,这里由于是测试,我们简单使用 在windows环境下,使用命令 c
Nginx文件解析漏洞
weixin_59872639的博客
02-23 5087
环境搭建 配置方法 安装docker yum -y install docker 启动docker systemctl start docker 使用docker拉取ubuntu:14.04.5镜像 docker pull ubuntu:14.04.5 使用docker启动镜像 ubuntu:14.04.5 docker run -d -it -p 本机端口:80 ubuntu:14.04.5 安装相关环境 apt-get update # 更新源 apt-get insta
nginx怎么解决这个漏洞
最新发布
10-12
解决 Nginx 漏洞的方法有多种,以下是一些常见漏洞的解决办法: ### Nginx 文件类型错误解析漏洞 1. **修改 PHP.ini**:设置 `cgi.fix_pathinfo = 0`,然后重启 PHP - cgi。不过此修改会影响到使用 PATH_INFO 伪静态的应用,例如 `http://blog.s135.com/read.PHP/348.htm` 就不能访问了[^1]。 ```ini cgi.fix_pathinfo = 0 ``` 2. **在 Nginx 配置文件添加规则**:添加 `if ( $fastcgi_script_name ~ \..*\/.*PHP ) {return 403;}`,添加后重启 Nginx。但该匹配会影响类似 `http://www.domain.com/software/5.0/test.PHP`(5.0 为目录),`http://www.domain.com/goto.PHP/PHPwind` 的 URL 访问[^1]。 ```nginx if ( $fastcgi_script_name ~ \..*\/.*PHP ) { return 403; } ``` 3. **只允许纯静态访问**:对于存储图片的 `location{...}`,或虚拟主机 `server{...}`,只允许纯静态访问,不配置 PHP 访问。例如在金山逍遥网论坛、SNS 上传的图片、附件,会传送到专门的图片、附件存储服务器集群上(pic.xoyo.com),这组服务器提供纯静态服务,无任何动态 PHP 配置[^1][^3]。 ```nginx location /images { # 只提供静态服务,不配置 PHP 相关内容 root /path/to/images; } ``` 4. **修改 nginx.conf 配置文件**:兼容 `http://blog.s135.com/demo/0day/phpinfo.php/test` 的 PATH_INFO 伪静态,拒绝 `http://blog.s135.com/demo/0day/phpinfo.jpg/test.php` 的漏洞攻击。 ```nginx location ~* .*\.php($|/) { if ($request_filename ~* (.*)\.php) { set $php_url $1; } if (!-e $php_url.php) { return 403; } fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; include fcgi.conf; } ``` 5. **修改 fastcgi_params 文件**:在 `/usr/local/nginx/conf/fastcgi_params` 文件最前面增加以下内容。 ```nginx if ($request_filename ~* (.*)\.php) { set $php_url $1; } if (!-e $php_url.php) { return 403; } ``` ### 对请求方法进行限制的漏洞修复 可以在配置文件中添加对请求方法的限制,对于非 GET、POST、DELETE、PUT 的请求返回 405 状态码。 ```nginx if ($request_method !~ ^(GET|POST|DELETE|PUT)$) { return 405; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值