柚子快報(bào)激活碼778899分享：運(yùn)維 nginx常見漏洞解析

http://yzkb.51969.com/

} #因?yàn)?uri是解碼以后的請求路徑，所以可能就會(huì)包含換行符，也就造成了一個(gè)CRLF注入漏洞。

解釋一下，1和2表示的是解碼以后的請求路徑，不帶參數(shù)；3表示的是完整的URI（沒有解碼）。那么，如果運(yùn)維配置了下列的代碼：

location / { return 302 https://

h

o

s

t

host

hosturi; } #因?yàn)?uri是解碼以后的請求路徑，所以可能就會(huì)包含換行符，也就造成了一個(gè)CRLF注入漏洞。

因?yàn)?*$uri**和**$document_uri**是解碼以后的請求路徑，所以可能就會(huì)包含換行符，也就造成了一個(gè)CRLF注入漏洞。

1.1利用方式：

我們在請求的過程中發(fā)送一個(gè)帶有%0d%0a編碼的請求：

#請求內(nèi)容 curl -I http://192.168.2.169:8080/%0d%0aSet-Cookie:%20a=1 #測試結(jié)果 [root@blackstone insecure-configuration]# curl -I http://192.168.2.169:8080/%0d%0aSet-Cookie:%20a=1 HTTP/1.1 302 Moved Temporarily Server: nginx/1.13.0 Date: Thu, 12 Jan 2023 12:18:16 GMT Content-Type: text/html Content-Length: 161 Connection: keep-alive Location: http://192.168.2.169:8080/ Set-Cookie: a=1

我們通過上述手段對請求進(jìn)行了修改，利用此漏洞可以看到返回了一個(gè)set-cookie，也就是說錯(cuò)誤的使用$uri配置會(huì)是用戶的請求被黑客悄無聲息的篡改掉。

我們使用burp抓包可以看到另一種可能性：在我們發(fā)送兩個(gè)連續(xù)的換行\(zhòng)r\n后，可以直接修改返回報(bào)文的返回體。插入js代碼引發(fā)xss。

1.2修改方案：

在獲取用戶的請求路徑時(shí)，配置文件內(nèi)出現(xiàn)的配置應(yīng)當(dāng)是**$request_uri**,例如：

location / { return 302 https://

h

o

s

t

host

hostrequest_uri; }

因?yàn)?*$request_uri和上邊1和2相反，表示的是完整的uri并不會(huì)解碼。**

另外，由$uri導(dǎo)致的CRLF注入漏洞不僅可能出現(xiàn)在上述兩個(gè)場景中，理論上，只要是可以設(shè)置HTTP頭的場景都會(huì)出現(xiàn)這個(gè)問題。

測試一下效果：

#1.編輯配置文件，投放進(jìn)docker [root@blackstone configuration]# cat fix1.conf server { listen 8080;

root /usr/share/nginx/html;

index index.html;

server_name _;

location / { return 302 http://

h

o

s

t

:

host:

host:server_port$request_uri; } }

#2.將配置文件放到特定目錄，重啟nginx [root@blackstone configuration]# docker exec -it fa2e43aabeec /bin/bash root@fa2e43aabeec:/# cp fix1.conf /etc/nginx/conf.d/ root@fa2e43aabeec:/# rm -f /etc/nginx/conf.d/error1.conf root@fa2e43aabeec:/etc/nginx/conf.d# nginx -s reload

#3.查看效果，確實(shí)可以有效消除CRLF的影響 [root@blackstone ~]# curl -I http://192.168.2.169:8080/%0d%0aSet-Cookie:%20a=1 HTTP/1.1 302 Moved Temporarily Server: nginx/1.13.0 Date: Wed, 08 Feb 2023 18:44:14 GMT Content-Type: text/html Content-Length: 161 Connection: keep-alive Location: http://192.168.2.169:8080/%0d%0aSet-Cookie:%20a=1

2. 目錄穿越漏洞：

這個(gè)常見于Nginx做反向代理的情況，動(dòng)態(tài)的部分被proxy_pass傳遞給后端端口，而靜態(tài)文件需要Nginx來處理。

假設(shè)靜態(tài)文件存儲在/home/目錄下，而該目錄在url中名字為files，那么就需要用alias設(shè)置目錄的別名：

location /files { alias /home/; }

2.1利用方式

此時(shí)，訪問http://example.com/files/readme.txt，就可以獲取/home/readme.txt文件。

但我們注意到，url上/files沒有加后綴/，而alias設(shè)置的/home/是有后綴/的，這個(gè)/就導(dǎo)致我們可以從/home/目錄穿越到他的上層目錄：

此時(shí)我們就獲得了一個(gè)目錄穿越漏洞，他可以進(jìn)行任意文件的下載，例如php mysql等等。

雖然有些mysql禁止遠(yuǎn)程登錄，但是可以通過mysql的用戶名和密碼去進(jìn)行一個(gè)社工，如果MySQL的密碼較為牢靠那么可能其他系統(tǒng)的密碼也是此密碼，當(dāng)然這只是一個(gè)沒好的臆想或者說猜測，

2.2解決方案

在進(jìn)行alies配置的過程中一定保證location后的匹配路徑和別名路徑一致。否則就會(huì)引發(fā)這樣的路徑穿越漏洞。

3.HTTP header頭被覆蓋：

眾所周知，Nginx的配置文件分為Server、Location、If等一些配置塊，并且存在包含關(guān)系，和編程語言比較類似。如果在外層配置的一些選項(xiàng)，是可以被繼承到內(nèi)層的。

但這里的繼承也有一些特性，比如add_header，子塊中配置后將會(huì)覆蓋父塊中的add_header添加的所有HTTP頭，造成一些安全隱患。

如下列代碼，Server塊添加了CSP頭：

server { … add_header Content-Security-Policy “default-src ‘self’”; add_header X-Frame-Options DENY;

location = /test1 { rewrite ^(.*)$ /xss.html break; }

location = /test2 { add_header X-Content-Type-Options nosniff; rewrite ^(.*)$ /xss.html break; } }

但/test2的location中又添加了X-Content-Type-Options頭，nginx僅載入模塊內(nèi)部的頭部修改信息，則會(huì)導(dǎo)致在父塊中配置的 add_header Content-Security-Policy “default-src ‘self’”;無法在/test2中生效。從而使/test2這里無法獲得防御功能

3.1利用方式：

此處的漏洞環(huán)境內(nèi)部，部署了xss漏洞點(diǎn)，通過 add_header Content-Security-Policy “default-src ‘self’”;頭的配置理論上是可以防御XSS攻擊的。但是由于此處/test2目錄下的配置錯(cuò)誤，導(dǎo)致這條配置不在此目錄下生效。故依舊可以使用XSS進(jìn)行攻擊。

#這是轉(zhuǎn)到的JS文件，獲取錨點(diǎn)也就是#后面的內(nèi)容添加到

標(biāo)簽內(nèi)部 window.onload = function() { var m = document.getElementById(‘m’); m.innerHTML = location.hash.substr(1); }

這個(gè)東西會(huì)對寫入的xss進(jìn)行轉(zhuǎn)義。

所以可以利用寫法可以寫為：

http://127.0.0.:8082/test2#

但是新版瀏覽器針對xss攻擊有一些限制，我們使用舊的瀏覽器可以發(fā)現(xiàn)：

可以看到，實(shí)際上/test2的防御機(jī)制并未打開。不過例子中的xss觸發(fā)方案已經(jīng)被瀏覽器防御了。

3.2修改方案：

配置頭部信息修改時(shí)細(xì)分到最小塊，這樣才能最大限度的保證每一個(gè)小塊的頭部配置都是正確的。當(dāng)然，也可以寫到父塊中，但是子塊在進(jìn)行頭部個(gè)性化修改時(shí)，切記將父塊中的頭配置給子塊復(fù)制一份。

說的更清楚一點(diǎn)，就是關(guān)于header的修改操作。不在nginx配置繼承范圍內(nèi)。子塊一旦修改，最終調(diào)用的配置就只在子塊內(nèi)部尋找。

修改配置文件為：

#1.直接在宿主機(jī)上修改對應(yīng)文件也生效(配置文件是從宿柱機(jī)鏈進(jìn)去的，具體可以看.yml文件) [root@blackstone configuration]# pwd /root/vulhub-master/nginx/insecure-configuration/configuration #2.修改文件 [root@blackstone configuration]# cat error3.conf server { listen 8082;

root /usr/share/nginx/html;

index index.html;

server_name _;

autoindex on;

add_header Content-Security-Policy “default-src ‘self’”; add_header X-Frame-Options DENY;

location = /test1 { rewrite ^(.*)$ /xss.html break; }

location = /test2 { add_header X-Content-Type-Options nosniff; add_header Content-Security-Policy “default-src ‘self’”; add_header X-Frame-Options DENY; rewrite ^(.*)$ /xss.html break; } } #3.進(jìn)入docker重啟nginx [root@blackstone configuration]# docker exec -it fa2e43aabeec /bin/bash root@fa2e43aabeec:/# nginx -s reload

再次測試的話發(fā)現(xiàn)text2以及無法執(zhí)行script。

4.nginx解析漏洞：

嚴(yán)格來說，這個(gè)漏洞的出現(xiàn)概率約等于0，甚至讓人感覺非常的刻意而為之。請看：

這二者合在一起，在網(wǎng)頁有文件上傳功能時(shí)，百分百引發(fā)文件上傳漏洞。屬于高危配置手法。對于這個(gè)例子可能需要大家去看看nginx解析php原理。

總結(jié)來說，漏洞成因就是同時(shí)開啟路徑修復(fù)和圖片后綴名解析(或者直接將解析配置為空)

[root@blackstone nginx_parsing_vulnerability]# cd /root/vulhub-master/nginx/nginx_parsing_vulnerability [root@blackstone nginx_parsing_vulnerability]# docker-compose up -d

Nginx解析漏洞：

影響版本：全版本

影響說明：命令執(zhí)行，獲取服務(wù)器web權(quán)限

環(huán)境說明：Nginx 1.13.0

環(huán)境搭建： 此次環(huán)境使用docker環(huán)境搭建，環(huán)境采用地址Vulhub

4.1漏洞原因：

Nginx的解析漏洞的出現(xiàn)和Nginx的版本沒有關(guān)系，漏洞的產(chǎn)生是由于php配置問題導(dǎo)致的。出現(xiàn)了如下

php.ini 目錄修復(fù)，如果沒找到則向上一級文件查找修復(fù)，為路徑修復(fù)！

cgi.fix_pathinfo=1

php-fpm.conf 開啟.php后綴和.jpg后綴解析功能，或者有一個(gè)可能，他壓根為off或者空，壓根沒寫也可以解析。

security.limit_extensions = .php .jpg

路徑修復(fù)****以及PHP-fpm開啟了圖片jpg或者gif或者壓根沒開什么文件都能解析的，愚蠢

當(dāng)訪問http://127.0.0.1/test.jpg時(shí)顯示圖片解析錯(cuò)誤，當(dāng)訪問http://127.0.0.1/test.jpg/test.php時(shí)結(jié)果顯示Access denied，這個(gè)回顯很奇怪，正常訪問這個(gè)鏈接是不存在的，正常思維應(yīng)該是404，這里就需要研究下Nginx的解析流程了：Nginx在收到/test.jpg/test.php路徑時(shí)，首先判斷文件類型，發(fā)現(xiàn)后綴是.php，便交給php處理，但php想要解析該文件時(shí)，發(fā)現(xiàn)并不存在，便刪除掉/test.php，去找test.jpg，此時(shí)test.jpg是存在的，便要嘗試解析它，但無奈后綴是.jpg，不是php，便報(bào)錯(cuò)Access denied。 上面的流程中提到了一個(gè)點(diǎn)，就是刪除/test.php，這是Nginx的“修理”機(jī)制，由參數(shù)cgi.fix_pathinfo決定，當(dāng)值為1時(shí)，便進(jìn)行“修理”。例如，文件名為/aa.jpg/bb.png/cc.php，如果cc.php不存在就找/aa.jpg/bb.png，如果還不存在就找aa.jpg，如果存在將它視為php文件。 到目前為止我們并沒有成功利用解析漏洞，因?yàn)閜hp代碼并沒有執(zhí)行。為什么呢？ 因?yàn)樵赑HP的配置中沒有定義降.jpg文件中的php代碼也解析為php，這是在security.limit_extensions中定義的。由于security.limit_extensions的引入，漏洞難以利用。

演示如下：

加一個(gè)/.php試試？

ok，就是這么簡單。不過這玩意出現(xiàn)不太可能。

能夠?qū)崿F(xiàn)這個(gè)效果得益于愚蠢的配置。

我們可以構(gòu)造一個(gè)圖片馬，則可以完成var=whomai

5.nginx本身的漏洞

對于程序本身的漏洞我們能做的就是版本升級，時(shí)刻保持程序?yàn)樽钚掳妫庞锌赡馨扬L(fēng)險(xiǎn)降到最低。對于以下漏洞的修復(fù)方案就不在贅述。

5.1文件名邏輯漏洞（CVE-2013-4547）

影響版本：Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 環(huán)境位置：/nginx/CVE-2013-4547

Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7php-fpm.conf中的security.limit_extensions為空，也就是說任意后綴名都可以解析為PHP

5.1.1漏洞原因

Nginx版本范圍較大，比較好匹配，但php-fpm.conf的security.limit_extensions配置默認(rèn)為php，一般鮮有管理員允許所有類型都可以解析為PHP，所以該漏洞比較雞肋，但這是在Linux的服務(wù)器中，而在Windows中便影響極大，這點(diǎn)我們后面再講，先說下在Linux下的復(fù)現(xiàn)步驟。

5.1.1.1漏洞前置知識

要理解這個(gè)漏洞我們先需要了解nginx解析php的原理，放一張圖：

圖中的幾個(gè)定義：

CGI：CGI是一種協(xié)議，它定義了Nginx或者其他Web Server傳遞過來的數(shù)據(jù)格式，全稱是（Common Gateway Interface，CGI），CGI是一個(gè)獨(dú)立的程序，獨(dú)立與WebServer之外，任何語言都可以寫CGI程序，例如C、Perl、Python等。 FastCGI：FastCGI是一種協(xié)議，它的前身是CGI，可以簡單的理解為是優(yōu)化版的CGI，擁有更夠的穩(wěn)定性和性能。 PHP-CGI：只是一個(gè)PHP的解釋器，本身只能解析請求，返回結(jié)果，不會(huì)做進(jìn)程管理。 PHP-FPM：全稱FastCGI Process Manager，看名稱就可以知道，PHP-FPM是FastCGI進(jìn)程的管理器，但前面講到FastCGI是協(xié)議并不是程序，所以它管理的是PHP-CGI，形成了一個(gè)類似PHP-CGI進(jìn)程池的概念。 Wrapper：字母意思是包裝的意思，包裝的是誰呢？包裝的是FastCGI，通過FastCGI接口，Wrapper接收到請求后，會(huì)生成一個(gè)新的線程調(diào)用PHP解釋器來處理數(shù)據(jù)。

Nginx調(diào)用PHP的過程是比較復(fù)雜的，需要花大量的時(shí)間來學(xué)習(xí)和梳理。通過原理圖和剛才的定義，我們對Nginx處理PHP請求有了大致的了解。那么，Nginx是如何知道將什么樣的文件當(dāng)作PHP文件處理？是在nginx.conf配置文件中的：

location ~ .php$ { root html; include fastcgi_params;

fastcgi_pass IP:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /var/www/html$fastcgi_script_name; fastcgi_param DOCUMENT_ROOT /var/www/html; }

locating后邊的 .php是一個(gè)正則，代表了以.php結(jié)尾的文件都必須按照括號內(nèi)的命令來執(zhí)行，fastcgi是一個(gè)協(xié)議，具象化理解為nginx和php之間的一個(gè)媒介一個(gè)溝通交流方式，有點(diǎn)想路由協(xié)議但又不全是。nginx將請求通過fastcgi發(fā)送給PHP-fpm。其中nginx和fastcgi_pass可以不在同一臺服務(wù)器上，用fastcgi_pass以ip和port端口的方式進(jìn)行通信功能。

5.1.1.2漏洞引發(fā)條件：

作為相應(yīng)版本的程序，其在解析URL時(shí)存在一定的缺陷，我們請求wbe-php.jpg[0x20][0x00].php，這個(gè)URI可以匹配上正則.php$，可以進(jìn)入這個(gè)Location塊；但進(jìn)入后，Nginx卻錯(cuò)誤地認(rèn)為請求的文件是1.jpg[0x20]，就設(shè)置其為SCRIPT_FILENAME的值發(fā)送給fastcgi。也就是說后端的php代碼在處理的過程中所接受到的文件名就是web-php.jpg。

同時(shí)查看php-fpm的配置文件可以看到：

我們來看一下官方配置文件給出的建議：

[root@blackstone php-fpm]# vim /etc/php-fpm.d/www.conf

; Limits the extensions of the main script FPM will allow to parse. This can ; prevent configuration mistakes on the web server side. You should only limit ; FPM to .php extensions to prevent malicious users to use other extensions to ; exectute php code. #這一句是重點(diǎn)，在設(shè)置解析時(shí)，為空則表示允許所有的后綴解析 ; Note: set an empty value to allow all extensions. ; Default Value: .php ;security.limit_extensions = .php .php3 .php4 .php5

在此漏洞的加持下，我們可以利用對nginx對截?cái)喾柕腻e(cuò)誤判斷，可以輕松上傳非法文件繞過php對其的檢測，在加上php-fpm配置文件中的錯(cuò)誤配置。就有可能實(shí)現(xiàn)上傳非法的webshell或者實(shí)現(xiàn)RCE。

5.1.2如何實(shí)際利用：

開啟靶場：docker-compose -d

自我介紹一下，小編13年上海交大畢業(yè)，曾經(jīng)在小公司待過，也去過華為、OPPO等大廠，18年進(jìn)入阿里一直到現(xiàn)在。

深知大多數(shù)網(wǎng)絡(luò)安全工程師，想要提升技能，往往是自己摸索成長，但自己不成體系的自學(xué)效果低效又漫長，而且極易碰到天花板技術(shù)停滯不前！

因此收集整理了一份《2024年網(wǎng)絡(luò)安全全套學(xué)習(xí)資料》，初衷也很簡單，就是希望能夠幫助到想自學(xué)提升又不知道該從何學(xué)起的朋友。

既有適合小白學(xué)習(xí)的零基礎(chǔ)資料，也有適合3年以上經(jīng)驗(yàn)的小伙伴深入學(xué)習(xí)提升的進(jìn)階課程，基本涵蓋了95%以上網(wǎng)絡(luò)安全知識點(diǎn)，真正體系化！

由于文件比較大，這里只是將部分目錄大綱截圖出來，每個(gè)節(jié)點(diǎn)里面都包含大廠面經(jīng)、學(xué)習(xí)筆記、源碼講義、實(shí)戰(zhàn)項(xiàng)目、講解視頻，并且后續(xù)會(huì)持續(xù)更新

如果你覺得這些內(nèi)容對你有幫助，可以添加VX：vip204888 （備注網(wǎng)絡(luò)安全獲取）

本人從事網(wǎng)路安全工作12年，曾在2個(gè)大廠工作過，安全服務(wù)、售后服務(wù)、售前、攻防比賽、安全講師、銷售經(jīng)理等職位都做過，對這個(gè)行業(yè)了解比較全面。

最近遍覽了各種網(wǎng)絡(luò)安全類的文章，內(nèi)容參差不齊，其中不伐有大佬傾力教學(xué)，也有各種不良機(jī)構(gòu)渾水摸魚，在收到幾條私信，發(fā)現(xiàn)大家對一套完整的系統(tǒng)的網(wǎng)絡(luò)安全從學(xué)習(xí)路線到學(xué)習(xí)資料，甚至是工具有著不小的需求。

最后，我將這部分內(nèi)容融會(huì)貫通成了一套282G的網(wǎng)絡(luò)安全資料包，所有類目條理清晰，知識點(diǎn)層層遞進(jìn)，需要的小伙伴可以點(diǎn)擊下方小卡片領(lǐng)取哦！下面就開始進(jìn)入正題，如何從一個(gè)萌新一步一步進(jìn)入網(wǎng)絡(luò)安全行業(yè)。

學(xué)習(xí)路線圖

其中最為矚目也是最為基礎(chǔ)的就是網(wǎng)絡(luò)安全學(xué)習(xí)路線圖，這里我給大家分享一份打磨了3個(gè)月，已經(jīng)更新到4.0版本的網(wǎng)絡(luò)安全學(xué)習(xí)路線圖。

相比起繁瑣的文字，還是生動(dòng)的視頻教程更加適合零基礎(chǔ)的同學(xué)們學(xué)習(xí)，這里也是整理了一份與上述學(xué)習(xí)路線一一對應(yīng)的網(wǎng)絡(luò)安全視頻教程。

網(wǎng)絡(luò)安全工具箱

當(dāng)然，當(dāng)你入門之后，僅僅是視頻教程已經(jīng)不能滿足你的需求了，你肯定需要學(xué)習(xí)各種工具的使用以及大量的實(shí)戰(zhàn)項(xiàng)目，這里也分享一份我自己整理的網(wǎng)絡(luò)安全入門工具以及使用教程和實(shí)戰(zhàn)。

項(xiàng)目實(shí)戰(zhàn)

最后就是項(xiàng)目實(shí)戰(zhàn)，這里帶來的是SRC資料&HW資料，畢竟實(shí)戰(zhàn)是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)嘛~

面試題

歸根結(jié)底，我們的最終目的都是為了就業(yè)，所以這份結(jié)合了多位朋友的親身經(jīng)驗(yàn)打磨的面試題合集你絕對不能錯(cuò)過！

一個(gè)人可以走的很快，但一群人才能走的更遠(yuǎn)。不論你是正從事IT行業(yè)的老鳥或是對IT行業(yè)感興趣的新人，都?xì)g迎掃碼加入我們的的圈子（技術(shù)交流、學(xué)習(xí)資源、職場吐槽、大廠內(nèi)推、面試輔導(dǎo)），讓我們一起學(xué)習(xí)成長！

當(dāng)然，當(dāng)你入門之后，僅僅是視頻教程已經(jīng)不能滿足你的需求了，你肯定需要學(xué)習(xí)各種工具的使用以及大量的實(shí)戰(zhàn)項(xiàng)目，這里也分享一份我自己整理的網(wǎng)絡(luò)安全入門工具以及使用教程和實(shí)戰(zhàn)。

項(xiàng)目實(shí)戰(zhàn)

最后就是項(xiàng)目實(shí)戰(zhàn)，這里帶來的是SRC資料&HW資料，畢竟實(shí)戰(zhàn)是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)嘛~

面試題

歸根結(jié)底，我們的最終目的都是為了就業(yè)，所以這份結(jié)合了多位朋友的親身經(jīng)驗(yàn)打磨的面試題合集你絕對不能錯(cuò)過！

一個(gè)人可以走的很快，但一群人才能走的更遠(yuǎn)。不論你是正從事IT行業(yè)的老鳥或是對IT行業(yè)感興趣的新人，都?xì)g迎掃碼加入我們的的圈子（技術(shù)交流、學(xué)習(xí)資源、職場吐槽、大廠內(nèi)推、面試輔導(dǎo)），讓我們一起學(xué)習(xí)成長！ [外鏈圖片轉(zhuǎn)存中…(img-TqUgEQUN-1712747401193)]

柚子快報(bào)激活碼778899分享：運(yùn)維 nginx常見漏洞解析

http://yzkb.51969.com/

精彩內(nèi)容