Nginx 文件名逻辑漏洞(CVE-2013-4547)
漏洞原理:
文件解析漏洞的主要原因是错误的解析了请求的URI🙅,错误的获取用户请求的文件名,将其他格式的文件当作php文件解析,导致出现权限绕过、代码执行。
在CVE-2013-4547漏洞中,通常会有下面类似的配置文件:
location ~ \.php$ {
root html;
include fastcgi_params;
fastcgi_pass php:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /var/www/html$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT /var/www/html;
}
请求1.png[0x20][0x00].php,这个URI可以匹配上正则\.php$
,可以进入这个Location块;但进入后,Nginx却错误地认为请求的文件是1.png[0x20]
,因为nginx遇到0x00结束标志符就会结束解析文件名。
也就是进入location块的是1.png[0x20]文件
影响范围:
Nginx 0.8.41 ~ 1.4.3 ;1.5.0 ~ 1.5.7
漏洞复现:
启动靶场环境后,上传一个png文件,抓包后在文件名后面添加一个空格👈👈
访问http://your-ip:8080/uploadfiles/1.gif[0x20][0x00].php
,即可发现PHP已被解析:
在二进制格式中更改
解析成功