Nginx 文件名逻辑漏洞（CVE-2013-4547）

目录

漏洞原理

影响版本

漏洞复现

---

漏洞原理

CGI：是一种协议，定义了web服务器传递的数据格式。

FastCGI：优化版的CGI程序

PHP-CGI：PHP解释器，能够对PHP文件进行解析并返回相应的解析结果

PHP-FPM：FastCGI进程管理程序

当Nginx得到一个用户请求时，首先对url进行解析，进行正则匹配，如果匹配到以.php后缀结尾的文件名，会将请求的PHP文件交给PHP-CGI去解析。其中处理模块如下：

location ~ \.php$ {root           html;include        fastcgi_params;fastcgi_pass   IP:9000;fastcgi_index  index.php;fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;fastcgi_param  DOCUMENT_ROOT /var/www/html;
}

以.php结尾的文件都会交给该模块处理，其中fastcgi_pass就是Nginx与PHP-FPM之间的媒介，通过ip+port的方式将请求转发给PHP解释器

CVE-2013-4547漏洞是由于非法字符空格和截止符导致Nginx在解析URL时的有限状态机混乱，导致攻击者可以通过一个非编码空格绕过后缀名限制。假设服务器中存在文件‘123.png '，则可以通过访问如下网址让服务器认为'123.png '的后缀为php

http://192.168.146.1/123.png \0.php

从代码层面来说，我们请求的url中123.png[0x20][0x00].php正好与location模块中的.php相匹配，但进入该模块后Nginx确认为请求的文件名是'123.png '，就设置其为script_name的值交给CGI进行解析，最终造成解析漏洞

想象一下，你有一个商店（Nginx服务器），这个商店里有很多商品（网页文件），其中一些是特殊的商品（PHP文件），需要特别的售货员（PHP-FPM）来处理。正常情况下，只有当顾客（用户）要求购买特殊商品时（请求.php文件），才会叫来特别的售货员。

但是，商店（Nginx）在检查顾客想要购买的商品名时，有个漏洞。如果有人（攻击者）在商品名里加了些奇怪的字符，比如一个看不见的空间（空格字符）和一个特殊的结束标记（空字符），商店就可能会搞混。

比如，攻击者想要买一件叫“123.png ”（注意，这里商品名末尾有个空格）的普通商品，但他却假装这是件特殊商品，于是在商品名后面加上了“.php”。就像这样：“123.png [空格][空字符].php”。由于商店的检查系统有漏洞，它可能会误以为这是一件特殊商品，于是就叫来了特别的售货员（PHP-FPM）来处理。

影响版本

Nginx 0.8.41 ~ 1.4.3 

Nginx 1.5.0 ~ 1.5.7

漏洞复现

进入vulhub项目对应的目录：cd vulhub-master\nginx\CVE-2013-4547

编译容器：“docker-compose build”

启动Docker容器，输入命令：“docker-compose up -d”。

查看容器状态，输入命令：“docker ps”并查看对应容器ID。

进入容器，输入命令：“docker exec -it 容器id /bin/bash”。

 利用攻击主机浏览器访问：http://靶机ip:8080

利用该图片上传页面，上传一个图片webshell，代码如下：

GIF98A
<?php phpinfo();?> 

成功上传，（写一遍2021的burp抽风了，下面改为用1.7的老版本了）

 访问上传的图片马，可以正常访问

使用0x00截断将图片马解析为PHP文件，访问该url并抓包修改192.168.2.110:8080/uploadfiles/1.png%20a.php 

原始数据包如下

a作为占位符，将%20删除后，%20需要改成空格，不然hex把%20也转了，进入Hex中把表示a的61修改为00，最后发送请求

最终数据包如下：

按照上述修改后Nginx收到的请求就变为了：http://192.168.146.134/uploadfiles/phpinfo.png \0.php，使得png被解析为了PHP