影響版本

Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

漏洞成因

這個漏洞其實和程式碼執行沒有太大關係，其主要原因是錯誤地解析了請求的URI，錯誤地獲取到使用者請求的檔名，導致出現許可權繞過、程式碼執行的連帶影響。
舉個例子，比如，Nginx匹配到.php結尾的請求，就傳送給fastcgi進行解析，常見的寫法如下：

location ~ \.php$ {
    include        fastcgi_params;

    fastcgi_pass   127.0.0.1:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;
    fastcgi_param  DOCUMENT_ROOT /var/www/html;
}
 

正常情況下（關閉pathinfo的情況下），只有.php字尾的檔案才會被髮送給fastcgi解析。
而存在CVE-2013-4547的情況下，我們請求1.gif[0x20][0x00].php，這個URI可以匹配上正則.php$，可以進入這個Location塊；但進入後，Nginx卻錯誤地認為請求的檔案是1.gif[0x20]，就設定其為SCRIPT_FILENAME的值傳送給fastcgi。
fastcgi根據SCRIPT_FILENAME的值進行解析，經過精心構造的檔名可以造成了解析漏洞。

漏洞復現

可以看到上傳2.gif[空格]檔案可以成功。並且給我們返回了路徑。訪問返回的路徑，我們直接訪問/uploadfiles/2.gif[空格][空格].php(因為我訪問/uploadfiles/2.gif[空格]沒有抓到包)，然後抓包，因為瀏覽器解析url的原因，圖中在抓包之後空格被解析成了%20，將包中的%20手動修改成[空格]。

修改完之後別急著放包，我們還需要修改Hex。

成功回顯了phpinfo頁面