本文详细介绍了如何利用CVE-2013-4547漏洞复现文件解析攻击。在CentOS7和Docker环境下,通过Vulhub搭建的环境,展示了当nginx配置不当,.php后缀的正则匹配导致非.php文件被误解析的过程。攻击者可以通过在文件名中插入空格和特殊字符,使得静态资源如xx.png被误解析为PHP脚本执行,从而造成安全威胁。修复此问题的关键在于正确配置nginx的fastcgi参数,确保只有合法的.php文件被发送给fastcgi解析。
项目场景:
centos7
docker
vulhub
原因分析:
主要原因时错误的解析了请求的url,错误的获取了用户请求的文件名
nginx匹配到.php 结尾的请求会发给fastcgi进行解析
location ~ \.php$ {
include fastcgi_params;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /var/www/html$fastcgi_script_name;
fastcgi_param DOCUMENT_ROOT /var/www/html;
}
正常情况下,只有.php后缀的文件才会被发送给fastcgi解析
在存在CVE-2013-4547的情况下,我们的xx.png[0x20][0x00].php 也可以匹配上正则的\.php,然后就能进入location块,nginx就会错误的认为请求的文件是 xx.png[0x20],就将其设置为 SCRIPT_FILENAME的值 发给fastcgi。 从而fastcgi根据 SCRIPT_FILENAME的值进行解析,从而触发
复现过程:
用docker拉取环境
docker-compose build
docker-compose up -d
打开地址发现上传点,通过抓包工具把所上传的文件后缀上加上空格上传
上传成功,找到上传地址
再次抓取数据包,需要在数据包中请求,跟上图片地址,再把png后的两个空格替换成【0x20】[0x00]
发送请求,png图片就已经被解析
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
