nginx文件类型错误解析漏洞

最新推荐文章于 2024-06-05 09:06:29 发布
原创 最新推荐文章于 2024-06-05 09:06:29 发布 · 2.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #php #脚本 #path #web服务 #cgi

本文介绍了一种利用Nginx与PHP配置不当导致的安全漏洞,即通过特定URL格式使Nginx错误地将非PHP文件当作PHP脚本执行。文章详细解释了漏洞原理,并提供了多种解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题简介:
nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。nginx默认以cgi的方式支持php的运行,而为了较好的支持PATH_INFO的提取,在PHP的配置选项里存在cgi.fix_pathinfo选项,其目的是为了从SCRIPT_FILENAME里取出真正的脚本名,而攻击者则利用这点可以将任何类型的文件以PHP的方式进行解析。
影响版本:0.5.*, 0.6.*, 0.7 <= 0.7.65, 0.8 <= 0.8.37  ,目前我们版本在1.1以上。

 

举例说明:
假设test.king.com是一个论坛,可以上传图片操作(后台有bug并没有对图片进行判断处理),用户已经上传一张包含php脚本的图片abc.jpg

现将test.king.com修定本地
浏览器访问test.king.com/abc.jpg,此时会显示无法浏览此图片
现访问test.king.com/abc.jpg/c.php 或者test.king.com/abc.jpg%00.php 则会将abc.jpg当做脚本文件直接运行,会显示出abc.jpg里的脚本代码phpinfo()信息
(以上只限测试,如有人想尝试,可在虚拟机上运行)
原理:
nginx在接受请求后会得到一个地址URL/abc.jpg/c.php
在经过location指令,将请求交给fastcgi处理,nginx为其设置环境变量SCRIPT_FILENAME,内容为/abc.jpg/c.php
后端的fastcgi在接受到该选项时,会根据PHP的fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理,一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用,

所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字,查找的方式也是查看文件是否存在,这个时候将分离SCRIPT_FILENAME和PATH_INFO分别为/scripts/abc.jpg和c.php
最后,以/scripts/abc.jpg作为此次请求需要执行的脚本,攻击者就可以实现让nginx以php来解析任何类型的文件了。

解决:

关闭php.ini里的cgi.fix_pathinfo为0
或者
if ( $fastcgi_script_name ~ ..*/.*php ) {
return 403;
}
前两个可能会导致一些伪静态网页或者特殊的路径无法显示

宴哥提供了一个方法可写在fcgi.conf文件中,便于多个虚拟主机引用
if ($request_filename ~* (.*).php) {
    set $php_url $1;
}
if (!-e $php_url.php) {
    return 403;
}
利用 Nginx 畸形解析漏洞 getshell
weixin_45253622的博客
12-09 3792
Nginx Nginx 是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好。 漏洞描述: 对于任意文件名,在后面添加/xxx.php(xxx为任意字符)后,即可将文件作为php解析。 例:info.jpg后面加上/xxx.php,会将info.jpg 以php解析漏洞原理: 查看 nginx 配置文件: cd /home/ch1/Desktop
第八天Apache解析漏洞IIS 解析漏洞Nginx 解析漏洞文件上传%oo截断
代码审计
03-11 4882
这里写目录标题一级目录二级目录三级目录 一级目录 二级目录 三级目录 文件名后缀就一个%00字节,可以截断某些函数对文件名的判断。在许多语言函数中,处理字符串的函数中0x00被认为是终止符。 例如: 网站上传函数处理xxx.php%00.jpg时,首先后缀名是合法的jpg格式,可以上传,在保存文件时,遇到%00字符丢弃后面的jpg,文件后缀最终保存的后缀名为xxx.php ...
Nginx文件类型错误解析漏洞--攻击演练》 (转)
weixin_34126557的博客
04-03 139
今天看书看到其中提到的一个漏洞,那就是Nginx+PHP服务器中,如果PHP的配置里 cgi.fix_pathinfo=1 那么就会产生一个漏洞。这个配置默认是1的,设为0会导致很多MVC框架(如Thinkphp)都无法运行。这个漏洞就是比如 localhost/img/1.jpg 是正常地访问一张图片,而 localhost/img/1.jpg/1.php 却会把这张图片作为PHP文件来执行!...
[转]再提供一种解决Nginx文件类型错误解析漏洞的方法
renziming的专栏
06-01 509
<br />本文转自:http://blog.s135.com/nginx_0day/<br />昨日,80Sec 爆出Nginx具有严重的0day漏洞 ,详见《Nginx文件类型 错误解析漏洞 》。只要用户拥有上传图片权限的Nginx+PHP服务器,就有被入侵的可能。<br />其实此漏洞 并不是Nginx的漏 洞,而是PHP PATH_INFO的漏洞 ,详见:http://bugs.php.net/bug.php?id=50852&edit=1<br />例如用户上传了一张照片,访问地址为htt
解决Nginx文件类型错误解析漏洞的方法(摘)
07-21 330
QZone Editor 80Sec 爆出Nginx具有严重的0day漏洞,详见《Nginx文件类型 错误解析漏洞》。只要用户拥有上传图片权限的Nginx+PHP服务器,就有被入侵的可能。 其实此漏洞并不是Nginx的漏 洞,而是PHP PATH_INFO的漏洞,详见:http://bugs.php.net/bug.php?id=50852&amp...
Apache、Nginx、IIS文件解析漏洞
qq_68163788的博客
05-29 1904
文件解析漏洞是指在Web服务器(如Apache、Nginx、IIS)中存在的一种安全漏洞,攻击者可以利用该漏洞来执行恶意代码或获取敏感信息。这种漏洞通常涉及服务错误地解释用户输入的文件或数据,导致攻击者能够访问服务器上的文件系统、执行任意代码或进行其他未经授权的操作。攻击者通常会尝试通过构造特定的恶意请求来利用文件解析漏洞,从而绕过服务器的安全控制机制。
【文件上传漏洞-07】中间件文件解析漏洞概述及实例——Apache、IIS和Nginx
m0_64378913的博客
07-12 3703
(1)第一种:未知扩展名解析漏洞 Apache对文件的解析主要是从右到左开始判断并进行解析,如果判断为不能解析的类型,则继续向左进行解析,如xx.php.wer.xxxxx将被解析PHP类型。(2)第二种:局部配置 通过htaccess文件进行局部配置,定义不同文件名及后缀的解析方式。参考《【文件上传漏洞-06】.htaccess攻击实验(基于upload-labs-4靶场)》(1)加深理解Apache的两种解析漏洞原理; (2)掌握两种解析漏洞的检测及绕过方法。靶场:基于WAMP环境的...
Nginx解析漏洞测试
09-19
Nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作...默认情况下可能导致服务错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持phpnginx服务器。
cgi.fix_pathinfo=1
weixin_33676492的博客
08-16 455
cgi.fix_pathinfo=1 转载于:https://www.cnblogs.com/gaoyuechen/p/9485768.html
Nginx文件类型错误解析漏洞--攻击演练
weixin_33896726的博客
04-03 163
今天看书看到其中提到的一个漏洞,那就是Nginx+PHP服务器中,如果PHP的配置里 cgi.fix_pathinfo=1 那么就会产生一个漏洞。这个配置默认是1的,设为0会导致很多MVC框架(如Thinkphp)都无法运行。这个漏洞就是比如 localhost/img/1.jpg 是正常地访问一张图片,而 localhost/img/1.jpg/1.php 却会把这张图片作为PHP文件来执行!...
PHP CGI 中 fix_pathinfo 引起的安全隐患
weixin_33854644的博客
07-24 404
这两天网上开始疯传一个“nginx文件类型错误解析漏洞”,这个“漏洞”是这样的: 假设有如下的 URL:http://phpvim.net/foo.jpg,当访问 http://phpvim.net/foo.jpg/a.php 时,foo.jpg 将会被执行,如果 foo.jpg 是一个普通文件,那么 foo.jpg 的内容会被直接显示出来,但是如果把一段 php 代码保存为 foo.j...
Nginx漏洞解析及复现
A526847的博客
06-05 4271
开启这一选项有什么用呢?看名字就知道是对文件路径进行“修理”。举个例子,当php遇到 文件路径“/aaa.xxx/bbb.yyy/ccc.zzz”时,若“/aaa.xxx/bbb.yyy/ccc.zzz”不存在,则会去掉最后的 “/ccc.zzz”,然后判断“/aaa.xxx/bbb.yyy”是否存在,若存在,则把“/aaa.xxx/bbb.yyy”当做文件 “/aaa.xxx/bbb.yyy/ccc.zzz”,若“/aaa.xxx/bbb.yyy”仍不存在,则继续去掉“/bbb.yyy”,以此类推。
php.ini中的cgi.fix_pathinfo选项
Able
04-06 4723
PHP里经常要获取当前请求的URL路径信息。一般可以通过环境变量$_SERVER[‘PATH_INFO’]获取,而配置文件中的cgi.fix_pathinifo选项则与这个值的获取相关。而$_SERVER[‘PATH_INFO’]中的key PATH_INFO是一个CGI 1.1的标准,经常用来做为传递参数给后端的CGI服务器。 被很多系统用来优化url路径格式,比如对于很多框架,下面这个网址:...
php cgi路径解析,php.ini中的cgi.fix_pathinfo选项
weixin_42314846的博客
03-17 614
PHP里经常要获取当前请求的URL路径信息。一般可以通过环境变量$_SERVER[‘PATH_INFO’]获取,而配置文件中的cgi.fix_pathinifo选项则与这个值的获取相关。而$_SERVER[‘PATH_INFO’]中的key PATH_INFO是一个CGI 1.1的标准,经常用来做为传递参数给后端的CGI服务器。被很多系统用来优化url路径格式,比如对于很多框架,下面这个网址:ht...
phpcgi.fix_pathinfo解析
热门推荐
乐乐的博客
09-11 1万+
fix_pathinfo是用来干嘛的呢?为CGI提供真正的PATH_INFO / PATH_TRANSLATED支持。 PHP的以前的行为是将PATH_TRANSLATED设置为SCRIPT_FILENAME,并且不要弄清PATH_INFO是什么。 有关PATH_INFO的更多信息,请参阅CGI规范。 将其设置为1将导致PHP CGI修复其路径以符合规范。 设置为零会导致PHP的行为像以前一样。 默
php cgi.fix pathinfo,Nginx + PHP CGI的安全漏洞:fix_pathinfo
weixin_39539002的博客
03-27 614
如果你正在使用nginx+php,请关注。表像:具体的重现过程,用php代码修改后缀名后上传,比如说www.xxx.com/1.jpg,访问的时候用www.xxx.com/1.jpg/xxx.php 这段jpg代码将会被执行!!!http://docs.php.net/manual/zh/ini.core.phpcgi.fix_pathinfo “1″ PHP_INI_ALL 从 PHP 4.3....
java实现本地图片存储通过nginx代理服务
最新发布
12-31
### Java 实现本地图片存储并由 Nginx 进行代理的服务 #### 一、Java 应用程序中的文件上传处理逻辑 为了支持图片的上传功能,在Spring Boot应用程序中,需要配置MultipartFile处理器以及设置保存路径。 ```java import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestParam; import org.springframework.web.multipart.MultipartFile; import java.io.File; import java.io.IOException; public class ImageUploadController { private static final String SAVE_PATH = "/path/to/save/images/"; @PostMapping("/upload") public String handleFileUpload(@RequestParam("file") MultipartFile file) { if (!file.isEmpty()) { try { byte[] bytes = file.getBytes(); File dir = new File(SAVE_PATH); if (!dir.exists()) dir.mkdirs(); // Create the file on server File serverFile = new File(dir.getAbsolutePath() + File.separator + file.getOriginalFilename()); BufferedOutputStream stream = new BufferedOutputStream(new FileOutputStream(serverFile)); stream.write(bytes); stream.close(); return "You successfully uploaded " + file.getName(); } catch (IOException e) { return "Failed to upload " + file.getName() + ". Error: " + e.getMessage(); } } else { return "Failed to upload because the file was empty."; } } } ``` 此代码片段展示了如何接收来自客户端提交的文件,并将其保存至服务器上的特定位置[^1]。 #### 二、Nginx 配置以提供静态资源访问 为了让外部能够通过HTTP请求获取这些已上传的图像,需调整Nginx配置使其作为反向代理服务器工作: ```nginx server { listen 80; server_name localhost; location /images/ { alias /path/to/save/images/; auto_index off; # 关闭目录列表显示 expires max; # 设置缓存策略 } error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } ``` 上述配置使得任何针对`http://yourdomain.com/images/*`模式URL发出的GET请求都将被映射到实际存放于磁盘上相应子目录内的文件[^2]。 当用户尝试浏览某个具体图片链接时(例如:`http://example.com/images/example.jpg`),Nginx会直接从指定的物理路径读取该文件并向浏览器返回其内容而不必经过后端应用层转发。 #### 三、确保安全性考虑 考虑到安全因素,在开放对外接口之前应当仔细审查权限控制机制。对于生产环境而言,建议启用HTTPS协议加密传输通道;同时限制允许上传的内容类型仅限于合法格式如JPEG, PNG等;另外还需注意防范潜在的安全漏洞比如XSS攻击等问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值