浅析Nginx文件解析漏洞
本文章将从五个维度对Nginx文件解析漏洞进行剖析——原理、危害、检测、防御、复现
1、原理
Nginx文件解析漏洞的产生原因是由于Nginx配置文件default.conf以及PHP配置文件php.ini的错误配置。
引发该漏洞的错误配置分别如下:
-
Nginx 在/etc/nginx/conf.d/default.conf文件下,有如下配置
location ~ \.php$ { fastcgi_index index.php; include fastcgi_params; fastcgi_params REDIRECT_STATUS 200; fastcgi_params SCRIPT_FILENAME $DOCUMENT_ROOT/$fastcgi_script_name; fastcgi_params DOCUMENT_ROOT /var/www/html; fastcgi_pass php:9000; }其中引发Nginx文件解析漏洞的不正确配置,就包括
fastcgi_params SCRIPT_FILENAME $DOCUMENT_ROOT/$fastcgi_script_name这一行配置,该配置的作用是将上层路径写入PATH_INFO变量中,以告知PHP上层路径是什么
-
PHP 在PHP的配置文件php.ini中,有cgi.fix_pathinfo变量,默认值为1,表示开启。该变量会对文件路径进行美化。举个例子,如果文件的上层路径为 /test.png/not_exist.php;当启用cgi.fix_pathinfo时,php检测到 “not_exist.php” 文件并不存在,则会向上寻找存在的文件,最终会找到test.png文件并将其当作 .php文件执行
- (上层路径:若url为http://123.168.38.160/nginx.png/not_exist.php ,则此时上层路径为/nginx.png/not_exist.php)
-
当然,如若要实现上述将test.png文件当作 .php的操作,还离不开 security.limit_extensions 属性的设置,该属性位于/etc/php-fpm.d/www.conf目录下,其作用是设置可以被当作php文件解析的文件后缀 如 security.limit_extensions .png .php 就代表着只有.png 和 . php结尾的文件才能被当作php文件执行。所以,实现Nginx文件解析漏洞的必要因素之一就是要把 security.limit_extensions 属性的属性值设为空,这才能让我们上述中的test.png 文件被当成 .php文件执行
2、危害
该漏洞的存在可让攻击者绕过文件上传时的检测,将含有危险代码的合法文件上传至服务器;之后再利用文件解析漏洞执行上述文件,从而容易让攻击者留下后门,导致机密数据被窃取、核心业务数据被篡改、网页被篡改、数据库所在服务器被攻击变为傀儡主机,导致局域网(内网)被入侵等。
3、检测
由于该漏洞的产生原因位于服务端,除非通过信息收集等手段获取被攻击方的配置文件,否则其配置文件的信息一般不可见,最通用的检测方式是依靠模糊测试来实现。
4、防御
该漏洞产生的原因是Nginx以及PHP服务器的配置不合理所致,最好的防御方法就是使用规范化、模板化、经由安全测试的配置文件。当然,在系统上线之前对敏感配置文件进行检查,也是一个非常有效的防御手段。
5、漏洞复现
cd /etc/nginx/
cd nginx.conf|more
cd conf.d/
cat default.conf
复现环境:该复现过程借助vulhub的docker环境进行测试
vulhub:https://github.com/vulhub/vulhub.git (环境搭建过程见GitHub仓库)
启动容器后,查看nginx的配置文件default.conf(路径为/etc/nginx/conf.d/default.conf)
可见fastcgi_param SCRIPT_FILENAME 选项已指定值
现打开web网站,进行漏洞测试
上传含POC的图片马后,打开网站的存储路径,发现图片正常显示
此时在原有路径下,加入“ /not_exist.php”,则发现该图片马被当作PHP文件执行,漏洞复现成功
与此同时,也可以看到cgi.fix_pathinfo属性显示为On(在配置文件中设置为1时会显示为On)
