nginx檔案型別錯誤解析漏洞

2022-07-31 13:54:14 字數 2499 閱讀 4258

漏洞介紹:nginx是一款高效能的web伺服器,使用非常廣泛,其不僅經常被用作反向**,也可以非常好的支援php的執行。80sec發現 其中存在乙個較為嚴重的安全問題,預設情況下可能導致伺服器錯誤的將任何型別的檔案以php的方式進行解析,這將導致嚴重的安全問題,使得惡意的攻擊者可 能攻陷支援php的nginx伺服器。

漏洞分析:nginx預設以cgi的方式支援php的執行,譬如在配置檔案當中可以以

1 location ~ .php$

的方式支援對php的解析,location對請求進行選擇的時候會使用uri環境變數進行選擇,其中傳遞到後端fastcgi的關鍵變數 script_filename由nginx生成的$fastcgi_script_name決定,而通過分析可以看 到$fastcgi_script_name是直接由uri環境變數控制的,這裡就是產生問題的點。而為了較好的支援path_info的提取,在php 的配置選項裡存在cgi.fix_pathinfo選項,其目的是為了從script_filename裡取出真正的指令碼名。

那麼假設存在乙個我們以如下的方式去訪問

1

將會得到乙個uri

經過location指令,該請求將會交給後端的fastcgi處理,nginx為其設定環境變數script_filename,內容為

而在其他的webserver如lighttpd當中,我們發現其中的script_filename被正確的設定為

所以不存在此問題。

後端的fastcgi在接受到該選項時,會根據fix_pathinfo配置決定是否對script_filename進行額外的處理,一般情況下如果不

對fix_pathinfo進行設定將影響使用path_info進行路由選擇的應用,所以該選項一般配置開啟。php通過該選項之後將查詢其中真正的腳

本檔案名字,查詢的方式也是檢視檔案是否存在,這個時候將分離出script_filename和path_info分別為

1 /scripts/80sec.jpg和80sec.php

最後,以/scripts/80sec.jpg作為此次請求需要執行的指令碼,攻擊者就可以實現讓nginx以php來解析任何型別的檔案了。

poc: 訪問乙個nginx來支援php的站點,在乙個任何資源的檔案如robots.txt後面加上/80sec.php,這個時候你可以看到如下的區別:

訪問

訪問訪問/80sec.php

其中的content-type的變化說明了後端負責解析的變化,該站點就可能存在漏洞。

漏洞廠商:

解決方案

我們已經嘗試聯絡官方,但是此前你可以通過以下的方式來減少損失

1 關閉cgi.fix_pathinfo為0

或者

1

if ( $fastcgi_script_name ~ ..*/.*php )

ps: 鳴謝laruence大牛在分析過程中給的幫助。

原文出處:

nginx檔案型別錯誤解析漏洞

80sec發現的大漏洞 之前聽阿里巴巴的同學也說到過 說明這個漏洞地下知道的人已經很多了 只是今天公開了。現在來看看漏洞描述 漏洞介紹 nginx是一款高效能的web伺服器,使用非常廣泛,其不僅經常被用作反向 也可以非常好的支援php的執行。80sec發現其中存在乙個較為嚴重的安全問題,預設情況下可...

nginx檔案型別錯誤解析漏洞

漏洞介紹 nginx是一款高效能的web伺服器,使用非常廣泛,其不僅經常被用作反向 也可以非常好的支援php的執行。80sec發現其中 存在乙個較為嚴重的安全問題,預設情況下可能導致伺服器錯誤的將任何型別的檔案以php的方式進行解析,這將導致嚴重的安全問題,使得惡意的攻擊者可能攻 陷支援php的ng...

nginx檔案型別錯誤解析漏洞

洞介紹 nginx是一款高效能的web伺服器,使用非常廣泛,其不僅經常被用作反向 也可以非常好的支援php的執行。80sec發現其中存在乙個較為嚴重的安全問題,預設情況下可能導致伺服器錯誤的將任何型別的檔案以php的方式進行解析,這將導致嚴重的安全問題,使得惡意的攻擊者可能攻陷支援php的nginx...