复现环境: vulhub docker —> nginx

一、错误配置导致的漏洞

1、CRLF注入漏洞

漏洞原理：

CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a。在HTTP协议中,HTTP header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。CRLF漏洞常出现在Location与Set-cookie消息头中。

Nginx在配置HTTP请求强制跳转到HTTPS时，会返回一个302和跳转路径如下图：攻击者则可以注入一个CLRF符号来重新控制HTTP头的内容或者HTTP body的内容。

漏洞复现：

1. 访问一个http页面，进行抓包。

2. 注入CLRF符号，并且设置一段XSS代码
   

3. 注入CRLF符号，自定义cookie内容。
   

2、目录穿越漏洞

漏洞原理：

如果nginx在配置目录别名（Alias）时，忘了在别名后加“/"，就会造成目录穿越漏洞，能被利用来读取web目录以外的文件。如果要修复的话，在别名后面添加上“/”就可以了。

漏洞复现：

1. 访问nginx站点(此处为默认站点)的files目录，使用burpsuite抓包。
   
2. 访问files…/，如果返回目录信息，说明存在目录穿越漏洞。
   

3、add_header覆盖

Nginx配置文件子块（server、location、if）中的add_header，将会覆盖父块中的add_header添加的HTTP头，造成一些安全隐患。

如下面的代码，在父块中添加了CSP头，在子块中也添加了新的CSP头：

add_header Content-Security-Policy "default-src 'self'";
add_header X-Frame-Options DENY;
location = /test1 {
    rewrite ^(.*)$ /xss.html break;
}
location = /test2 {
    add_header X-Content-Type-Options nosniff;
    rewrite ^(.*)$ /xss.html break;
}

其中，在test1中访问，CSP头使用的是父块的CSP，而访问test2后，CSP头则是使用的子块定义的：

二、解析漏洞

1、漏洞简介

该漏洞与nginx、php版本无关,属于用户配置不当造成的解析漏洞

假如用户上传了shell.jpg，但是当用户访问/shell.jpg/shell.php时会将shell.jpg按照php文件进行解析。

漏洞原理：

1. 由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理：
   

2. 当fastcgi在处理’.php’文件时发现文件并不存在,这时php.ini配置文件中cgi.fix_pathinfo=1 发挥作用,这项配置用于修复路径,如果当前路径不存在则采用上层路径。为此这里交由fastcgi处理的文件就变成了’/test.png’。

3. 最重要的一点是php-fpm.conf中的security.limit_extensions配置项限制了fastcgi解析文件的类型(即指定什么类型的文件当做代码解析),此项设置为空的时候才允许fastcgi将’.png’等文件当做代码解析。
   

2、漏洞复现

1. 准备一张图片马，用于验证漏洞。

2. 通过上传功能传入该木马，拿到文件地址：
   

3. 在浏览器访问"图片.jpg/xxx.php"，成功执行php代码。