Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器，同时也提供了IMAP/POP3/SMTP服务。

Nginx 文件名逻辑漏洞（CVE-2013-4547）

影响版本：Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

这个漏洞其实和代码执行没有太大关系，其主要原因是错误地解析了请求的URI，错误地获取到用户请求的文件名，导致出现权限绕过、代码执行的连带影响。

举个例子，比如，Nginx匹配到.php结尾的请求，就发送给fastcgi进行解析，常见的写法如下：

1
2
3
4
5
6
7
8

location ~ \.php$ {
    include        fastcgi_params;

    fastcgi_pass   127.0.0.1:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;
    fastcgi_param  DOCUMENT_ROOT /var/www/html;
}

正常情况下（关闭pathinfo的情况下），只有.php后缀的文件才会被发送给fastcgi解析。

而存在CVE-2013-4547的情况下，我们请求1.gif[0x20][0x00].php，这个URI可以匹配上正则.php$，可以进入这个Location块；但进入后，Nginx却错误地认为请求的文件是1.gif[0x20]，就设置其为SCRIPT_FILENAME的值发送给fastcgi。

fastcgi根据SCRIPT_FILENAME的值进行解析，最后造成了解析漏洞。

所以，我们只需要上传一个空格结尾的文件，即可使PHP解析之。

再举个例子，比如很多网站限制了允许访问后台的IP：

1
2
3
4

location /admin/ {
    allow 127.0.0.1;
    deny all;
}

我们可以请求如下URI：/test[0x20]/../admin/index.php，这个URI不会匹配上location后面的/admin/，也就绕过了其中的IP验证；但最后请求的是/test[0x20]/../admin/index.php文件，也就是/admin/index.php，成功访问到后台。（这个前提是需要有一个目录叫test：这是Linux系统的特点，如果有一个不存在的目录，则即使跳转到上一层，也会爆文件不存在的错误，Windows下没有这个限制）

漏洞复现：
这个环境是黑名单验证，我们无法上传php后缀的文件，需要利用CVE-2013-4547。我们上传一个1.gif，注意后面的空格

访问http://your-ip:8080/uploadfiles/1.gif[0x20][0x00].php，即可发现PHP已被解析：

注意，[0x20]是空格，[0x00]是\0，这两个字符都不需要编码。

漏洞分析：
CVE-2013-4547 Nginx解析漏洞深入利用及分析

Nginx越界读取缓存漏洞（CVE-2017-7529）

Nginx在反向代理站点的时候，通常会将一些文件进行缓存，特别是静态文件。缓存的部分存储在文件中，每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件，则Nginx会直接将该文件中的“HTTP返回包体”返回给用户。

如果我的请求中包含Range头，Nginx将会根据我指定的start和end位置，返回指定长度的内容。而如果我构造了两个负的位置，如(-600, -9223372036854774591)，将可能读取到负位置的数据。如果这次请求又命中了缓存文件，则可能就可以读取到缓存文件中位于“HTTP返回包体”前的“文件头”、“HTTP返回包头”等内容。

访问http://your-ip:8080/，即可查看到Nginx默认页面，这个页面实际上是反向代理的8081端口的内容。

调用python3 poc.py http://your-ip:8080/，读取返回结果：

可见，越界读取到了位于“HTTP返回包体”前的“文件头”、“HTTP返回包头”等内容。
漏洞分析：
https://cert.360.cn/warning/detail?id=b879782fbad4a7f773b6c18490d67ac7

Nginx 配置错误导致漏洞

错误配置一：
CRLF注入漏洞
Nginx会将$uri进行解码，导致传入%0a%0d即可引入换行符，造成CRLF注入漏洞。

错误的配置文件示例（原本的目的是为了让http的请求跳转到https上）：

1
2
3

location / {
    return 302 https://$host$uri;
}

Payload: http://your-ip:8080/%0a%0dSet-Cookie:%20a=1，可注入Set-Cookie头。

错误配置二：
目录穿越漏洞
Nginx在配置别名（Alias）的时候，如果忘记加/，将造成一个目录穿越漏洞。

错误的配置文件示例（原本的目的是为了让用户访问到/home/目录下的文件）：

1
2
3

location /files {
    alias /home/;
}

Payload: http://your-ip:8081/files../ ，成功穿越到根目录：

错误配置三：
Nginx配置文件子块（server、location、if）中的add_header，将会覆盖父块中的add_header添加的HTTP头，造成一些安全隐患。

如下列代码，整站（父块中）添加了CSP头：

1
2
3
4
5
6
7
8
9
10
11

add_header Content-Security-Policy "default-src 'self'";
add_header X-Frame-Options DENY;

location = /test1 {
    rewrite ^(.*)$ /xss.html break;
}

location = /test2 {
    add_header X-Content-Type-Options nosniff;
    rewrite ^(.*)$ /xss.html break;
}

但/test2的location中又添加了X-Content-Type-Options头，导致父块中的add_header全部失效：

Nginx 解析漏洞复现

Nginx解析漏洞复现。

版本信息：

Nginx 1.x 最新版
PHP 7.x最新版
由此可知，该漏洞与Nginx、php版本无关，属于用户配置不当造成的解析漏洞。

增加/.php后缀，被解析成PHP文件：

前面说了该漏洞与Nginx、php版本无关，属于用户配置不当造成的解析漏洞。那么我们看一下配置不当的地方。

这是一段nginx配置，将.php结尾的文件都会交给fastcgi来执行，/uploadfiles/nginx.png/a.php也会交给fastcgi解析，fastcgi在解析”.php”文件时发现文件并不存在，这时php.ini配置文件中的cig.fix_pathinfo就发挥作用了，ccgi.fix_pathinfo是默认开启的，当php遇到文件路径/aaa.xxx/bbb.yyy/ccc.zzz时，若/aaa.xxx/bbb.yyy/ccc.zzz不存在，则会去掉最后的/ccc.zzz，然后判断/aaa.xxx/bbb.yyy是否存在，若存在，则把/aaa.xxx/bbb.yyy当做文件/aaa.xxx/bbb.yyy/ccc.zzz解析，若/aaa.xxx/bbb.yyy仍不存在，则继续去掉/bbb.yyy，以此类推。那么fastcgi到底能解析哪些文件呢，这个由php-fpm.conf中的security.limit_extensions参数决定的，下面是php手册中对security.limit_extensions的解释

1
2
3

security.limit_extensions string       
限制 FPM 允许解析的脚本扩展名。 此设置可以预防 web 服务器配置的错误。
应当限制 FPM 仅仅解析 .php 扩展名，阻止恶意用户使用其他扩展名运行 php 代码。 默认值： .php .phar

应当注意的是当此项设置为空的时候表示允许fastcgi将’.png’等文件当做代码解析，恰好这个漏洞环境就是security.limit_extensions为空。成功将nginx.png当成了php执行

修复方案
1、如果cig.fix_pathinfo可以关闭的话就关闭，关闭该选项很可能会导致一些其他错误，所以一般是开启的
2、将security.limit_extensions选项只填写.php，阻止恶意用户使用其他扩展名运行 php 代码，下面是我们修改了配置重启之后的再恶意执行的情况，Access denied.。

参考文章：
Nginx 解析漏洞
https://vulhub.org/

https://www.cnblogs.com/HelloCTF/p/14098983.html

FROM :blog.cfyqy.com | Author:cfyqy