Nginx 檔名邏輯漏洞(CVE-2013-4547)
阿新 • • 發佈:2020-12-07
影響版本
Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7
漏洞成因
這個漏洞其實和程式碼執行沒有太大關係,其主要原因是錯誤地解析了請求的URI,錯誤地獲取到使用者請求的檔名,導致出現許可權繞過、程式碼執行的連帶影響。
舉個例子,比如,Nginx匹配到.php結尾的請求,就傳送給fastcgi進行解析,常見的寫法如下:
location ~ \.php$ { include fastcgi_params; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /var/www/html$fastcgi_script_name; fastcgi_param DOCUMENT_ROOT /var/www/html; }
正常情況下(關閉pathinfo的情況下),只有.php字尾的檔案才會被髮送給fastcgi解析。
而存在CVE-2013-4547的情況下,我們請求1.gif[0x20][0x00].php,這個URI可以匹配上正則.php$,可以進入這個Location塊;但進入後,Nginx卻錯誤地認為請求的檔案是1.gif[0x20],就設定其為SCRIPT_FILENAME的值傳送給fastcgi。
fastcgi根據SCRIPT_FILENAME的值進行解析,經過精心構造的檔名可以造成了解析漏洞。
漏洞復現
可以看到上傳2.gif[空格]檔案可以成功。並且給我們返回了路徑。訪問返回的路徑,我們直接訪問/uploadfiles/2.gif[空格][空格].php(因為我訪問/uploadfiles/2.gif[空格]沒有抓到包),然後抓包,因為瀏覽器解析url的原因,圖中在抓包之後空格被解析成了%20,將包中的%20手動修改成[空格]。
修改完之後別急著放包,我們還需要修改Hex。
成功回顯了phpinfo頁面