Nginx越界读取缓存漏洞（CVE-2017-7529）

Nginx在反向代理站点的时候，通常会将一些文件进行缓存，特别是静态文件。缓存的部分存储在文件中，每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件，则Nginx会直接将该文件中的“HTTP返回包体”返回给用户。如果我的请求中包含Range头，Nginx将会根据我指定的start和end位置，返回指定长度的内容。而如果我构造了两个负的位置，如(-600, -9223372036854774591)，将可能读取到负位置的数据。如果这次请求又命中了缓存文件，则可能就可以读取到缓存文件中位于“HTTP返回包体”前的“文件头”、“HTTP返回包头”等内容。

漏洞影响

该漏洞影响所有 0.5.6 - 1.13.2版本内默认配置模块的Nginx只需要开启缓存攻击者即可发送恶意请求进行远程攻击造成信息泄露。当Nginx服务器使用代理缓存的情况下攻击者通过利用该漏洞可以拿到服务器的后端真实IP或其他敏感信息。
通过我们的分析判定该漏洞利用难度低可以归属于low-hanging-fruit的漏洞在真实网络攻击中也有一定利用价值。

影响版本
Nginx version 0.5.6 - 1.13.2

修复版本
Nginx version 1.13.3, 1.12.1

检查和利用

下载脚本：
https://github.com/vulhub/vulhub/tree/master/nginx/CVE-2017-7529
运行：

python CVE-2017-7529_PoC.py http://192.168.1.15:8080

检测到漏洞以及成功利用：

参考链接：
https://github.com/vulhub/vulhub/tree/master/nginx/CVE-2017-7529
https://github.com/en0f/CVE-2017-7529_PoC