nginx文件类型错误解析漏洞

最新推荐文章于 2024-06-05 09:06:29 发布
原创 最新推荐文章于 2024-06-05 09:06:29 发布 · 2.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #php #脚本 #path #web服务 #cgi

本文介绍了一种利用Nginx与PHP配置不当导致的安全漏洞,即通过特定URL格式使Nginx错误地将非PHP文件当作PHP脚本执行。文章详细解释了漏洞原理,并提供了多种解决方案。
问题简介:
nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。nginx默认以cgi的方式支持php的运行,而为了较好的支持PATH_INFO的提取,在PHP的配置选项里存在cgi.fix_pathinfo选项,其目的是为了从SCRIPT_FILENAME里取出真正的脚本名,而攻击者则利用这点可以将任何类型的文件以PHP的方式进行解析。
影响版本:0.5.*, 0.6.*, 0.7 <= 0.7.65, 0.8 <= 0.8.37  ,目前我们版本在1.1以上。

 

举例说明:
假设test.king.com是一个论坛,可以上传图片操作(后台有bug并没有对图片进行判断处理),用户已经上传一张包含php脚本的图片abc.jpg

现将test.king.com修定本地
浏览器访问test.king.com/abc.jpg,此时会显示无法浏览此图片
现访问test.king.com/abc.jpg/c.php 或者test.king.com/abc.jpg%00.php 则会将abc.jpg当做脚本文件直接运行,会显示出abc.jpg里的脚本代码phpinfo()信息
(以上只限测试,如有人想尝试,可在虚拟机上运行)
原理:
nginx在接受请求后会得到一个地址URL/abc.jpg/c.php
在经过location指令,将请求交给fastcgi处理,nginx为其设置环境变量SCRIPT_FILENAME,内容为/abc.jpg/c.php
后端的fastcgi在接受到该选项时,会根据PHP的fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理,一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用,

所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字,查找的方式也是查看文件是否存在,这个时候将分离SCRIPT_FILENAME和PATH_INFO分别为/scripts/abc.jpg和c.php
最后,以/scripts/abc.jpg作为此次请求需要执行的脚本,攻击者就可以实现让nginx以php来解析任何类型的文件了。

解决:

关闭php.ini里的cgi.fix_pathinfo为0
或者
if ( $fastcgi_script_name ~ ..*/.*php ) {
return 403;
}
前两个可能会导致一些伪静态网页或者特殊的路径无法显示

宴哥提供了一个方法可写在fcgi.conf文件中,便于多个虚拟主机引用
if ($request_filename ~* (.*).php) {
    set $php_url $1;
}
if (!-e $php_url.php) {
    return 403;
}
利用 Nginx 畸形解析漏洞 getshell
weixin_45253622的博客
12-09 3824
Nginx Nginx 是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好。 漏洞描述: 对于任意文件名,在后面添加/xxx.php(xxx为任意字符)后,即可将文件作为php解析。 例:info.jpg后面加上/xxx.php,会将info.jpg 以php解析漏洞原理: 查看 nginx 配置文件: cd /home/ch1/Desktop
文件解析漏洞-iis
m0_63944205的博客
07-30 1022
用windowserver2003安装IIS测试。
Nginx文件类型错误解析漏洞--攻击演练》 (转)
weixin_34126557的博客
04-03 148
今天看书看到其中提到的一个漏洞,那就是Nginx+PHP服务器中,如果PHP的配置里 cgi.fix_pathinfo=1 那么就会产生一个漏洞。这个配置默认是1的,设为0会导致很多MVC框架(如Thinkphp)都无法运行。这个漏洞就是比如 localhost/img/1.jpg 是正常地访问一张图片,而 localhost/img/1.jpg/1.php 却会把这张图片作为PHP文件来执行!...
[转]再提供一种解决Nginx文件类型错误解析漏洞的方法
renziming的专栏
06-01 523
<br />本文转自:http://blog.s135.com/nginx_0day/<br />昨日,80Sec 爆出Nginx具有严重的0day漏洞 ,详见《Nginx文件类型 错误解析漏洞 》。只要用户拥有上传图片权限的Nginx+PHP服务器,就有被入侵的可能。<br />其实此漏洞 并不是Nginx的漏 洞,而是PHP PATH_INFO的漏洞 ,详见:http://bugs.php.net/bug.php?id=50852&edit=1<br />例如用户上传了一张照片,访问地址为htt
解决Nginx文件类型错误解析漏洞的方法(摘)
07-21 343
QZone Editor 80Sec 爆出Nginx具有严重的0day漏洞,详见《Nginx文件类型 错误解析漏洞》。只要用户拥有上传图片权限的Nginx+PHP服务器,就有被入侵的可能。 其实此漏洞并不是Nginx的漏 洞,而是PHP PATH_INFO的漏洞,详见:http://bugs.php.net/bug.php?id=50852&amp...
【文件上传漏洞-07】中间件文件解析漏洞概述及实例——Apache、IIS和Nginx
m0_64378913的博客
07-12 3773
(1)第一种:未知扩展名解析漏洞 Apache对文件的解析主要是从右到左开始判断并进行解析,如果判断为不能解析的类型,则继续向左进行解析,如xx.php.wer.xxxxx将被解析PHP类型。(2)第二种:局部配置 通过htaccess文件进行局部配置,定义不同文件名及后缀的解析方式。参考《【文件上传漏洞-06】.htaccess攻击实验(基于upload-labs-4靶场)》(1)加深理解Apache的两种解析漏洞原理; (2)掌握两种解析漏洞的检测及绕过方法。靶场:基于WAMP环境的...
Nginx解析漏洞测试
09-19
Nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作...默认情况下可能导致服务错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可能攻陷支持phpnginx服务器。
记一次Nginx解析漏洞复现--文件类型后门测试
Chris_HackFromCN的博客
08-24 703
Do what you said,say what you can do 做你说过的,说你能做的 目录 1.什么是解析漏洞 2.在没有解析漏洞的网站上传文件后门 3.在存在解析漏洞Nginx服务器上上传文件后门 4.总结 1.什么是解析漏洞解析漏洞是指服务器应用程序在解析某些精心构造的后缀文件时,会将其解析成网页脚本,从而导致网站沦陷的一种漏洞。 2.在没有解析漏洞的网站上传文件后门 (1)工具:phpstudy、火狐浏...
cgi.fix_pathinfo=1
weixin_33676492的博客
08-16 463
cgi.fix_pathinfo=1 转载于:https://www.cnblogs.com/gaoyuechen/p/9485768.html
Nginx文件类型错误解析漏洞--攻击演练
weixin_33896726的博客
04-03 171
今天看书看到其中提到的一个漏洞,那就是Nginx+PHP服务器中,如果PHP的配置里 cgi.fix_pathinfo=1 那么就会产生一个漏洞。这个配置默认是1的,设为0会导致很多MVC框架(如Thinkphp)都无法运行。这个漏洞就是比如 localhost/img/1.jpg 是正常地访问一张图片,而 localhost/img/1.jpg/1.php 却会把这张图片作为PHP文件来执行!...
PHP CGI 中 fix_pathinfo 引起的安全隐患
weixin_33854644的博客
07-24 429
这两天网上开始疯传一个“nginx文件类型错误解析漏洞”,这个“漏洞”是这样的: 假设有如下的 URL:http://phpvim.net/foo.jpg,当访问 http://phpvim.net/foo.jpg/a.php 时,foo.jpg 将会被执行,如果 foo.jpg 是一个普通文件,那么 foo.jpg 的内容会被直接显示出来,但是如果把一段 php 代码保存为 foo.j...
Nginx漏洞解析及复现
A526847的博客
06-05 4666
开启这一选项有什么用呢?看名字就知道是对文件路径进行“修理”。举个例子,当php遇到 文件路径“/aaa.xxx/bbb.yyy/ccc.zzz”时,若“/aaa.xxx/bbb.yyy/ccc.zzz”不存在,则会去掉最后的 “/ccc.zzz”,然后判断“/aaa.xxx/bbb.yyy”是否存在,若存在,则把“/aaa.xxx/bbb.yyy”当做文件 “/aaa.xxx/bbb.yyy/ccc.zzz”,若“/aaa.xxx/bbb.yyy”仍不存在,则继续去掉“/bbb.yyy”,以此类推。
php.ini中的cgi.fix_pathinfo选项
Able
04-06 4783
PHP里经常要获取当前请求的URL路径信息。一般可以通过环境变量$_SERVER[‘PATH_INFO’]获取,而配置文件中的cgi.fix_pathinifo选项则与这个值的获取相关。而$_SERVER[‘PATH_INFO’]中的key PATH_INFO是一个CGI 1.1的标准,经常用来做为传递参数给后端的CGI服务器。 被很多系统用来优化url路径格式,比如对于很多框架,下面这个网址:...
php cgi路径解析,php.ini中的cgi.fix_pathinfo选项
weixin_42314846的博客
03-17 636
PHP里经常要获取当前请求的URL路径信息。一般可以通过环境变量$_SERVER[‘PATH_INFO’]获取,而配置文件中的cgi.fix_pathinifo选项则与这个值的获取相关。而$_SERVER[‘PATH_INFO’]中的key PATH_INFO是一个CGI 1.1的标准,经常用来做为传递参数给后端的CGI服务器。被很多系统用来优化url路径格式,比如对于很多框架,下面这个网址:ht...
phpcgi.fix_pathinfo解析
热门推荐
乐乐的博客
09-11 1万+
fix_pathinfo是用来干嘛的呢?为CGI提供真正的PATH_INFO / PATH_TRANSLATED支持。 PHP的以前的行为是将PATH_TRANSLATED设置为SCRIPT_FILENAME,并且不要弄清PATH_INFO是什么。 有关PATH_INFO的更多信息,请参阅CGI规范。 将其设置为1将导致PHP CGI修复其路径以符合规范。 设置为零会导致PHP的行为像以前一样。 默
php cgi.fix pathinfo,Nginx + PHP CGI的安全漏洞:fix_pathinfo
weixin_39539002的博客
03-27 626
如果你正在使用nginx+php,请关注。表像:具体的重现过程,用php代码修改后缀名后上传,比如说www.xxx.com/1.jpg,访问的时候用www.xxx.com/1.jpg/xxx.php 这段jpg代码将会被执行!!!http://docs.php.net/manual/zh/ini.core.phpcgi.fix_pathinfo “1″ PHP_INI_ALL 从 PHP 4.3....
nginx怎么解决这个漏洞
最新发布
10-12
解决 Nginx 漏洞的方法有多种,以下是一些常见漏洞的解决办法: ### Nginx 文件类型错误解析漏洞 1. **修改 PHP.ini**:设置 `cgi.fix_pathinfo = 0`,然后重启 PHP - cgi。不过此修改会影响到使用 PATH_INFO 伪静态的应用,例如 `http://blog.s135.com/read.PHP/348.htm` 就不能访问了[^1]。 ```ini cgi.fix_pathinfo = 0 ``` 2. **在 Nginx 配置文件添加规则**:添加 `if ( $fastcgi_script_name ~ \..*\/.*PHP ) {return 403;}`,添加后重启 Nginx。但该匹配会影响类似 `http://www.domain.com/software/5.0/test.PHP`(5.0 为目录),`http://www.domain.com/goto.PHP/PHPwind` 的 URL 访问[^1]。 ```nginx if ( $fastcgi_script_name ~ \..*\/.*PHP ) { return 403; } ``` 3. **只允许纯静态访问**:对于存储图片的 `location{...}`,或虚拟主机 `server{...}`,只允许纯静态访问,不配置 PHP 访问。例如在金山逍遥网论坛、SNS 上传的图片、附件,会传送到专门的图片、附件存储服务器集群上(pic.xoyo.com),这组服务器提供纯静态服务,无任何动态 PHP 配置[^1][^3]。 ```nginx location /images { # 只提供静态服务,不配置 PHP 相关内容 root /path/to/images; } ``` 4. **修改 nginx.conf 配置文件**:兼容 `http://blog.s135.com/demo/0day/phpinfo.php/test` 的 PATH_INFO 伪静态,拒绝 `http://blog.s135.com/demo/0day/phpinfo.jpg/test.php` 的漏洞攻击。 ```nginx location ~* .*\.php($|/) { if ($request_filename ~* (.*)\.php) { set $php_url $1; } if (!-e $php_url.php) { return 403; } fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; include fcgi.conf; } ``` 5. **修改 fastcgi_params 文件**:在 `/usr/local/nginx/conf/fastcgi_params` 文件最前面增加以下内容。 ```nginx if ($request_filename ~* (.*)\.php) { set $php_url $1; } if (!-e $php_url.php) { return 403; } ``` ### 对请求方法进行限制的漏洞修复 可以在配置文件中添加对请求方法的限制,对于非 GET、POST、DELETE、PUT 的请求返回 405 状态码。 ```nginx if ($request_method !~ ^(GET|POST|DELETE|PUT)$) { return 405; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值