漏洞介紹:nginx是一款高效能的web伺服器,使用非常廣泛,其不僅經常被用作反向**,也可以非常好的支援php的執行。80sec發現其中存在乙個較為嚴重的安全問題,預設情況下可能導致伺服器錯誤的將任何型別的檔案以php的方式進行解析,這將導致嚴重的安全問題,使得惡意的攻擊者可能攻陷支援php的nginx伺服器。
漏洞分析:nginx預設以cgi的方式支援php的執行,譬如在配置檔案當中可以以
location ~ \.php$
的方式支援對php的解析,location對請求進行選擇的時候會使用uri環境變數進行選擇,其中傳遞到後端fastcgi的關鍵變數script_filename由nginx生成的$fastcgi_script_name決定,而通過分析可以看到$fastcgi_script_name是直接由uri環境變數控制的,這裡就是產生問題的點。而為了較好的支援path_info的提取,在php的配置選項裡存在cgi.fix_pathinfo選項,其目的是為了從script_filename裡取出真正的指令碼名。
那麼假設存在乙個,我們以如下的方式去訪問
將會得到乙個uri
經過location指令,該請求將會交給後端的fastcgi處理,nginx為其設定環境變數script_filename,內容為
而在其他的webserver如lighttpd當中,我們發現其中的script_filename被正確的設定為
所以不存在此問題。
後端的fastcgi在接受到該選項時,會根據fix_pathinfo配置決定是否對script_filename進行額外的處理,一般情況下如果不對fix_pathinfo進行設定將影響使用path_info進行路由選擇的應用,所以該選項一般配置開啟。php通過該選項之後將查詢其中真正的指令碼檔案名字,查詢的方式也是檢視檔案是否存在,這個時候將分離出script_filename和path_info分別為
/scripts/80sec.jpg和80sec.php
最後,以/scripts/80sec.jpg作為此次請求需要執行的指令碼,攻擊者就可以實現讓nginx以php來解析任何型別的檔案了。
poc: 訪問乙個nginx來支援php的站點,在乙個任何資源的檔案如robots.txt後面加上/80sec.php,這個時候你可以看到如下的區別:
訪問http/1.1 200 ok
server: nginx/0.6.32
date: thu, 20 may 2010 10:05:30 gmt
content-type: text/plain
content-length: 18
last-modified: thu, 20 may 2010 06:26:34 gmt
connection: keep-alive
keep-alive: timeout=20
accept-ranges: bytes
訪問訪問/80sec.php
其中的content-type的變化說明了後端負責解析的變化,該站點就可能存在漏洞。
漏洞廠商:
解決方案:
我們已經嘗試聯絡官方,但是此前你可以通過以下的方式來減少損失
關閉cgi.fix_pathinfo為0
或者if ( $fastcgi_script_name ~ \..*\/.*php )
使用此方法時,將此段**放置在nginx/sites-enabled/ 下的各**配置檔案中,修改後重啟nginx。(注:開重寫的**,檢視跳轉位址後使用)
nginx檔案型別錯誤解析漏洞
80sec發現的大漏洞 之前聽阿里巴巴的同學也說到過 說明這個漏洞地下知道的人已經很多了 只是今天公開了。現在來看看漏洞描述 漏洞介紹 nginx是一款高效能的web伺服器,使用非常廣泛,其不僅經常被用作反向 也可以非常好的支援php的執行。80sec發現其中存在乙個較為嚴重的安全問題,預設情況下可...
nginx檔案型別錯誤解析漏洞
漏洞介紹 nginx是一款高效能的web伺服器,使用非常廣泛,其不僅經常被用作反向 也可以非常好的支援php的執行。80sec發現其中 存在乙個較為嚴重的安全問題,預設情況下可能導致伺服器錯誤的將任何型別的檔案以php的方式進行解析,這將導致嚴重的安全問題,使得惡意的攻擊者可能攻 陷支援php的ng...
nginx檔案型別錯誤解析漏洞
洞介紹 nginx是一款高效能的web伺服器,使用非常廣泛,其不僅經常被用作反向 也可以非常好的支援php的執行。80sec發現其中存在乙個較為嚴重的安全問題,預設情況下可能導致伺服器錯誤的將任何型別的檔案以php的方式進行解析,這將導致嚴重的安全問題,使得惡意的攻擊者可能攻陷支援php的nginx...