25、文件上传漏洞——Nginx文件解析漏洞

文章目录

一、Nginx配置

  • 创建容器(后台运行):docker run -d -p <本机端口>:<容器端口> <image>
  • 创建容器(后台运行)后,进入容器:docker exec -it <容器名> /bin/bash
  • 使用下列语句安装相关环境
    • apt-get update更新源
    • apt-get install nginx 安装nginx
    • service nginx start 启动nginx服务
    • apt-get install php5-fpm 安装php5-fpm

  刚安装好的Nginx是不能解析php的,需要修改配置文件:/etc/nginx/sites-available/default

Nginx有两种启动方式:

  • 第五行打开,就是使用TCP方式启动,php-fpm将会本地监听9000端口;
  • 倒数第三行打开,则是使用套接字方式启动。

  现在使用/etc/init.d/php5-fpm start启动web服务,然后到web目录中写一个测试php文件,重启nginx服务,尝试访问,如果可以解析,则环境配置成功。

Nginx相关目录:

  • /usr/share/nginx/html #默认web目录
  • /etc/nginx/ # 配置文件目录
  • /etc/php5/fpm # php配置文件目录
  • /var/log/nginx/access.log # 访问日志
  • /var/log/nginx/error/log # 错误日志

二、Nginx解析漏洞原理

  • 对任意文件名,在后面添加/任意文件名.php的解析漏洞,比如原本文件名为test.jpg,可以添加为test.jpg/x.php进行解析攻击;
  • 对低版本的Nginx可以在任意文件名后面添加%00.php进行解析攻击。

和Apache一样,Nginx也是通过mime.types识别文件,文件路径:/etc/nginx/mime.types

创建一个1.jpg文件,然后访问1.jpg/1.php,显示Access denied

不是解析为php文件吗?没有开启路径修改 or security.limit_extensions

  Nginx拿到文件路径1.jpg/1.php,一看后缀是.php,便认为该文件是.php,转交给php解释器去处理。php解释器一看1.jpg/1.php不存在,便删去/1.php,又看/1.jpg存在,便把/1.jpg当作执行的文件,又因为文件后缀是.jpg,php解释器认为这不是php文件,于是返回"Access denied"。

要想复现Nginx解析漏洞,应该:

  1. 配置cgi.fix_pathinfo
    cgi.fix_pathinfo,该值默认为1,表示开启。用途:对文件路径进行"修理"。 当php解释器遇到文件路径/aaa.xxx/bbb.yyy/ccc.zzz时,若/aaa.xxx/bbb.yyy/ccc.zzz不存在,则会去掉最后的/ccc.zzz,然后判断/aaa.xxx/bbb.yyy是否存在,若存在,则把/aaa.xxx/bbb.yyy当作文件/aaa.xxx/bbb.yyy/ccc.zzz。若不存在,则继续去掉/bbb.yyy,依此类推。
  2. 配置www.conf
    配置/etc/php5/fpm/pool.d/www.conf中的security.limit_extensions允许解析其他格式文件为PHP。

    再次访问1.jpg/1.php

三、Nginx文件解析漏洞修复方法

  1. php.ini文件中的cgi.fix_pathinfo的值设为0。这样php在解析1.jpg/1,php的路径时,主要1.php不存在就会显示404。
  2. /etc/php5/fpm/pool.d/www.conf中的security.limit_extensions后面的值设置为.php,就是说只允许解析后缀名为.php的php文件。
相关推荐
志栋智能2 小时前
超自动化安全如何优化安全运营成本?
人工智能·安全·自动化
jieyucx3 小时前
【系统安全铁律】解密 Linux 权限三色数字密码:chmod 最小化赋权与生产环境避坑指南
linux·安全·系统安全·权限·chmod·777
HackTwoHub4 小时前
某单位 CMS 完整渗透链、SQL 注入→后台拿权→绕过宝塔 Waf 上线 shell
数据库·人工智能·sql·安全·网络安全·系统安全·安全架构
山东穆柯传感器5 小时前
车间安监验收不通过?安全地毯选对厂家一次达标
安全
Kyrie6785 小时前
OpenSSH 10.4 发布:后量子签名时代来临
安全
IVVi0jToe5 小时前
高效C++线程池设计与实现
java·c++·安全
MartinYeung56 小时前
实战测试 LLM 安全护栏:@martin_yeung/llm-up-guardrail 全面评测与避坑指南
安全
DS小龙哥6 小时前
基于树莓派PICO2设计的汽车少儿安全预警系统
网络·安全·汽车
solar应急响应6 小时前
【银狐应急复盘】伪装 Telegram 的“白加黑”银狐木马,从深度溯源到彻底清除的闭环响应实录(附自查 IOC)
网络·安全
Lottie20266 小时前
京东电商进阶运营:精准定价+安全铺货+竞品监控+利润管控全自动化方案
运维·安全·自动化