-
-
[原创]Web中间件漏洞之Nginx篇
-
发表于: 2023-5-25 16:00
-
Nginx简介
Nginx 是一款轻量级的 Web 服务器、反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个 BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上 nginx 的并发能力确实在同类型的网页服务器中表现较好。
文件解析
漏洞介绍及成因
对任意文件名,在后面添加/任意文件名 .php 的解析漏洞,比如原本文件名是 test.jpg,可以添加 test.jpg/x.php 进行解析攻击。
漏洞复现
在网站根目录下新建一个 i.gif 的文件,在里面写入 phpinfo( )
在浏览器中打开
利用文件解析漏洞,
输入192.168.139.129:100/i.gif.2.php,发现无法解析
将/etc/php5/fpm/pool.d/baaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4G2L8X3k6Q4c8e0c8Q4b7U0S2Q4b7f1c8K6k6h3y4#2M7X3W2@1P5g2)9J5k6h3I4A6L8h3W2@1i4K6g2X3k6i4S2@1k6h3&6K6K9h3!0F1M7H3`.`. = .php 中的 .php 删除
再次在浏览器中打开,成功解析
漏洞介绍及成因
1 将 php.ini 文件中的 cgi.fix_pathinfo 的值设为 0 .这样 php 在解析 1.php/1.jpg 这样的目录时,只要 1.jpg 不存在就会显示 404
2 将 /etc/php5/fpm/pool.d/www.conf 中 security.limit_ectensions 后面的值设为 .php
目录遍历
漏洞简介及成因
Nginx 的目录遍历与 Apache 一样,属于配置方面的问题,错误的配置可到导致目录遍历与源码泄露。
漏洞复现
打开 test 目录,发现无法打开
修改/etc/nginx/sites-avaliable/default ,在如下图所示的位置添加 autoindex on
再次访问
漏洞修复
将 /etc/nginx/sites-avaliable/default 里的 autoindex on 改为 autoindex off
CRLF注入
漏洞简介及成因
CRLF 时“回车+换行”(\r\n)的简称。
HTTP Header 与 HTTP Body 时用两个 CRLF 分隔的,浏览器根据两个 CRLF 来取出 HTTP 内容并显示出来。
通过控制 HTTP 消息头中的字符,注入一些恶意的换行,就能注入一些会话 cookie 或者 html 代码,由于 Nginx 配置不正确,导致注入的代码会被执行。
漏洞复现
访问页面,抓包
请求加上 /%0d%0a%0d%0a<img src=1 onerror=alert(/xss/)>
由于页面重定向,并没有弹窗
漏洞修复
Nginx 的配置文件 /etc/nginx/conf.d/error1.conf 修改为使用不解码的 url 跳转。
目录穿越
漏洞介绍及成因
Nginx 反向代理,静态文件存储在 /home/ 下,而访问时需要在 url 中输入 files ,配置文件中 /files 没有用/闭合,导致可以穿越至上层目录。
漏洞复现
访问:dfbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0p5K6z5g2)9J5k6e0p5J5z5q4)9K6b7e0R3H3z5o6q4Q4x3V1k6X3K9h3I4W2M7#2)9J5c8R3`.`.
访问:8fcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0p5K6z5g2)9J5k6e0p5J5z5q4)9K6b7e0R3H3z5o6q4Q4x3V1k6X3K9h3I4W2M7#2)9J5k6g2)9J5k6g2)9J5c8R3`.`.
成功实现目录穿越
漏洞修复
Nginx 的配置文件/etc/nginx/conf.d/error2.conf 的 /files 使用/闭合。
|
|
|---|---|
