Nginx配置错误导致漏洞(CRLF,目录穿越,header头覆盖)

在做web安全测试时,常常接手到啥功能都没有的页面。然而大多数站点都用到nginx服务器,不妨可以从这个角度去测试利用。
 

一、CRLF注入漏洞

漏洞描述

CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a(URL编码则是%0d,%0a)
在HTTP协议中,HTTP header是用一个CRLF分隔的,HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。

CRLF漏洞常出现在Location与Set-cookie消息头中。
 

漏洞原理

1、 修改nginx.conf,在如下图位置添加如下配置,此配置实现了强制跳转的功能,当用户访问nginx服务器时由于此配置的存在会被强制跳转到以https协议访问之前访问的链接。
(原本的目的是为了让http的请求跳转到https上)
  Nginx配置错误导致漏洞(CRLF,目录穿越,header头覆盖)_第1张图片
2、上面的配置的关键利用点有两个:
①是配置中的$url是我们可以控制的,这样我们就可以在$url处填入CRLF,Nginx会将$url进行解码,导致传入%0a%0d即可引入换行符,对服务器进行访问实现CRLF注入。
②是服务器会返回一个302跳转给用户,所以我们注入的头部参数又会返回到客户这边。
 

漏洞利用

正常得请求响应

HTTP/1.1 302 Moved Temporarily 
Date: Fri, 27 Jun 2020 17:52:17 GMT 
Content-Type: text/html 
Content-Length: 154 
Connection: close 
Location: http://www.xxxx.com

异常请求响应
Nginx配置错误导致漏洞(CRLF,目录穿越,header头覆盖)_第2张图片
通过两个CRLF分隔符,往body注入xss语句
Nginx配置错误导致漏洞(CRLF,目录穿越,header头覆盖)_第3张图片
 

二、目录穿越漏洞

漏洞原理

Nginx在配置别名(Alias)的时候,如果忘记加/,将造成一个目录穿越漏洞。
错误的配置文件示例(原本的目的是为了让用户访问到/home/目录下的文件):
Nginx配置错误导致漏洞(CRLF,目录穿越,header头覆盖)_第4张图片
 

漏洞利用

Payload: http://your-ip:8081/files../ ,成功穿越到根目录:
Nginx配置错误导致漏洞(CRLF,目录穿越,header头覆盖)_第5张图片
 

三、add_header被覆盖

漏洞原理

Nginx配置文件子块(server、location、if)中的add_header,将会覆盖父块中的add_header添加的HTTP头,造成一些安全隐患。
如下列代码,整站(父块中)添加了CSP头:
Nginx配置错误导致漏洞(CRLF,目录穿越,header头覆盖)_第6张图片
/test2的location中又添加了X-Content-Type-Options头,导致父块中的add_header全部失效:
Nginx配置错误导致漏洞(CRLF,目录穿越,header头覆盖)_第7张图片
/test2将Content-Security-Policy(内容安全策略)头覆盖
Nginx配置错误导致漏洞(CRLF,目录穿越,header头覆盖)_第8张图片

漏洞利用

XSS可被触发:
Nginx配置错误导致漏洞(CRLF,目录穿越,header头覆盖)_第9张图片
 
GOT IT!

 
******************************************************
小实验小结,具体测试利用方式需根据具体实践场景~

你可能感兴趣的:(Vulhub漏洞复现,Web安全攻防)