web服务器/中间件漏洞系列5:nginx漏洞汇总

2021/12/2 7:10:11

本文主要是介绍web服务器/中间件漏洞系列5:nginx漏洞汇总,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

在这里插入图片描述

复现环境: vulhub docker —> nginx

一、错误配置导致的漏洞

1、CRLF注入漏洞

漏洞原理:

CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a。在HTTP协议中,HTTP header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。CRLF漏洞常出现在Location与Set-cookie消息头中。

Nginx在配置HTTP请求强制跳转到HTTPS时,会返回一个302和跳转路径如下图:攻击者则可以注入一个CLRF符号来重新控制HTTP头的内容或者HTTP body的内容。
在这里插入图片描述

漏洞复现:

  1. 访问一个http页面,进行抓包。

  2. 注入CLRF符号,并且设置一段XSS代码
    在这里插入图片描述

  3. 注入CRLF符号,自定义cookie内容。
    在这里插入图片描述

2、目录穿越漏洞

漏洞原理:

如果nginx在配置目录别名(Alias)时,忘了在别名后加“/",就会造成目录穿越漏洞,能被利用来读取web目录以外的文件。如果要修复的话,在别名后面添加上“/”就可以了。

漏洞复现:

  1. 访问nginx站点(此处为默认站点)的files目录,使用burpsuite抓包。
    在这里插入图片描述
  2. 访问files…/,如果返回目录信息,说明存在目录穿越漏洞。
    在这里插入图片描述

3、add_header覆盖

Nginx配置文件子块(server、location、if)中的add_header,将会覆盖父块中的add_header添加的HTTP头,造成一些安全隐患。

如下面的代码,在父块中添加了CSP头,在子块中也添加了新的CSP头:

add_header Content-Security-Policy "default-src 'self'";
add_header X-Frame-Options DENY;
location = /test1 {
    rewrite ^(.*)$ /xss.html break;
}
location = /test2 {
    add_header X-Content-Type-Options nosniff;
    rewrite ^(.*)$ /xss.html break;
}

其中,在test1中访问,CSP头使用的是父块的CSP,而访问test2后,CSP头则是使用的子块定义的:
在这里插入图片描述

二、解析漏洞

1、漏洞简介

该漏洞与nginx、php版本无关,属于用户配置不当造成的解析漏洞

假如用户上传了shell.jpg,但是当用户访问/shell.jpg/shell.php时会将shell.jpg按照php文件进行解析。

漏洞原理:

  1. 由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理:
    在这里插入图片描述

  2. 当fastcgi在处理’.php’文件时发现文件并不存在,这时php.ini配置文件中cgi.fix_pathinfo=1 发挥作用,这项配置用于修复路径,如果当前路径不存在则采用上层路径。为此这里交由fastcgi处理的文件就变成了’/test.png’。

  3. 最重要的一点是php-fpm.conf中的security.limit_extensions配置项限制了fastcgi解析文件的类型(即指定什么类型的文件当做代码解析),此项设置为空的时候才允许fastcgi将’.png’等文件当做代码解析。
    在这里插入图片描述

2、漏洞复现

  1. 准备一张图片马,用于验证漏洞。

  2. 通过上传功能传入该木马,拿到文件地址:
    在这里插入图片描述

  3. 在浏览器访问"图片.jpg/xxx.php",成功执行php代码。
    在这里插入图片描述



这篇关于web服务器/中间件漏洞系列5:nginx漏洞汇总的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!


扫一扫关注最新编程教程