复现环境: vulhub docker —> nginx
漏洞原理:
CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a。在HTTP协议中,HTTP header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。CRLF漏洞常出现在Location与Set-cookie消息头中。
Nginx在配置HTTP请求强制跳转到HTTPS时,会返回一个302和跳转路径如下图:攻击者则可以注入一个CLRF符号来重新控制HTTP头的内容或者HTTP body的内容。
漏洞复现:
访问一个http页面,进行抓包。
注入CLRF符号,并且设置一段XSS代码
注入CRLF符号,自定义cookie内容。
漏洞原理:
如果nginx在配置目录别名(Alias)时,忘了在别名后加“/",就会造成目录穿越漏洞,能被利用来读取web目录以外的文件。如果要修复的话,在别名后面添加上“/”就可以了。
漏洞复现:
Nginx配置文件子块(server、location、if)中的add_header,将会覆盖父块中的add_header添加的HTTP头,造成一些安全隐患。
如下面的代码,在父块中添加了CSP头,在子块中也添加了新的CSP头:
add_header Content-Security-Policy "default-src 'self'"; add_header X-Frame-Options DENY; location = /test1 { rewrite ^(.*)$ /xss.html break; } location = /test2 { add_header X-Content-Type-Options nosniff; rewrite ^(.*)$ /xss.html break; }
其中,在test1中访问,CSP头使用的是父块的CSP,而访问test2后,CSP头则是使用的子块定义的:
该漏洞与nginx、php版本无关,属于用户配置不当造成的解析漏洞
假如用户上传了shell.jpg,但是当用户访问/shell.jpg/shell.php时会将shell.jpg按照php文件进行解析。
漏洞原理:
由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理:
当fastcgi在处理’.php’文件时发现文件并不存在,这时php.ini配置文件中cgi.fix_pathinfo=1 发挥作用,这项配置用于修复路径,如果当前路径不存在则采用上层路径。为此这里交由fastcgi处理的文件就变成了’/test.png’。
最重要的一点是php-fpm.conf中的security.limit_extensions配置项限制了fastcgi解析文件的类型(即指定什么类型的文件当做代码解析),此项设置为空的时候才允许fastcgi将’.png’等文件当做代码解析。
准备一张图片马,用于验证漏洞。
通过上传功能传入该木马,拿到文件地址:
在浏览器访问"图片.jpg/xxx.php",成功执行php代码。