搭建环境,访问 8080 端口
Nginx: Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。
影响版本:0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7
原理:
此漏洞可导致目录跨越及代码执行, 其主要原因是错误地解析了请求的URI,
错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。
举个例子,比如,Nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法下:
location ~ \.php$ {
include fastcgi_params;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /var/www/html$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT /var/www/html;
}
正常情况下(关闭pathinfo的情况下),只有.php后缀的文件才会被发送给fastcgi解析。而存在
CVE-2013-4547的情况下,我们请求 1.gif[0x20][0x00].php ,这个URI可以匹配上正则 .php$,
可以进入这个Location块;但进入后,由于fastcgi在查找文件时被\0截断,Nginx却错误地认为
请求的文件是1.gif[0x20],就设置其为SCRIPT_FILENAME的值发送给fastcgi。
fastcgi根据SCRIPT_FILENAME的值进行解析,最后造成了解析漏洞。
所以,我们只需要上传一个空格结尾的文件,即可使PHP解析之。
再举个例子,比如很多网站限制了允许访问后台的IP
location /admin/ { allow 127.0.0.1; deny all;}
我们可以请求如下URI:/test[0x20]/…/admin/index.php,这个URI不会匹配上location后面的/admin/,
也就绕过了其中的IP验证;但最后请求的是 /test[0x20]/…/admin/index.php 文件,也就是/admin/index.php,
成功访问到后台。(这个前提是需要有一个目录叫test:这是Linux系统的特点,如果有一个不存在的目录,
则即使跳转到上一层,也会爆文件不存在的错误,Windows下没有这个限制)
当我们通过例如下列方式进行 URL 访问限制的时候,如果攻击者使用一些没经过转义的空格字符(无效的 HTTP 协议,但从 Nginx 0.8.41 开始因为考虑兼容性的问题予以支持)那么这个限制可能无效:
location /protected/ {
deny all;
}
当请求的是 “/foo /…/protected/file” 这样的 URL (静态文件,但 foo 后面有一个空格结尾) 或者是如下的配置:
location ~ \.php$ {
fastcgi_pass ...
}
当我们请求 “/file \0.php” 时就会绕过限制。
上传一个php文件:由于环境对php文件有黑名单过滤
会显示文件类型不支持
利用CVE-2013-4547 ,上传一个jpg,注意后缀名带空格
上传成功,接下来构造00截断来构造Nginx解析漏洞,将shell.jpg 解析成php文件,
访问
http://82.156.243.46:8080/uploadfiles/shell.jpg .php
结果是访问不到
原因在于将空格编码成了 %20 ,服务器没有shell.jpg%20 这个文件
在16进制下将第二个空格改为00,即 “空格” -> “\0”
该问题已经在 Nginx 1.5.7 和 1.4.4 版本中修复。
补丁程序在:
http://nginx.org/download/patch.2013.space.txt
--- src/http/ngx_http_parse.c
+++ src/http/ngx_http_parse.c
@@ -617,6 +617,7 @@ ngx_http_parse_request_line(ngx_http_req
default:
r->space_in_uri = 1;
state = sw_check_uri;
+ p--;
break;
}
break;
@@ -670,6 +671,7 @@ ngx_http_parse_request_line(ngx_http_req
default:
r->space_in_uri = 1;
state = sw_uri;
+ p--;
break;
}
break;
配置上临时的解决办法是:
if ($request_uri ~ " ") {
return 444;
}