【vulhub漏洞复现】CVE-2013-4547 Nginx 文件名逻辑漏洞
创始人
2024-05-28 21:50:24
0

一、漏洞详情

影响版本 Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

通过%00截断绕过后缀名的限制,使上传的php内容文件被解析执行。

当Nginx得到一个用户请求时,首先对url进行解析,进行正则匹配,如果匹配到以.php后缀结尾的文件名,会将请求的PHP文件交给PHP-CGI去解析。

假设服务器中存在文件‘123.png ',则可以通过访问如下网址让服务器认为'123.png '的后缀为php

http://127.0.0.1/123.png \0.php

代码层面来说,我们请求的url中123.png[0x20][0x00].php正好与location模块中的.php相匹配,但进入该模块后Nginx确认为请求的文件名是'123.png ',就设置其为script_name的值交给CGI进行解析,最终造成解析漏洞。

二、复现过程

  1. 搭建docker环境

docker-compose up -d

访问8080端口

  1. 上传图片马

创建一个新文档,保存为123.png

内容为:

GIF98A
GIF98A可以将文件伪造成图片,从而绕过一些文件上传的限制

bp抓包

  1. %00截断解析php文件

访问

http://192.168.239.128:8080/uploadfiles/123.png%20a.php

用bp抓包

a是占位符,把a的hex编码变为00(新版本的bp已经没有了之前的Hex选项,只能选中单个字符在右边的框里进行修改),点击apply changes

再把%20用一个空格代替

点击发送

phpinfo()被成功执行

三、总结

复现的过程卡在了bp上面

到现在也没弄懂为什么访问http://192.168.239.128:8080/uploadfiles/123.png时无法被抓包?

也算是个题外话,虚心求教🙏

相关内容

热门资讯

均价0.83元/吨!山西3宗储... (转自:砂石骨料网)砂石骨料网消息,近日,山西省自然资源网上交易平台发布3宗超亿吨砂石大矿成交公告。...
爱情像把扇子的原文是 爱情像把扇子的原文是爱就像个疯子  我眼中的爱情像一把扇子一样经历挫折, 像扇子一样长久, 像扇子一...
如果你选择离开我,请记得有个傻... 如果你选择离开我,请记得有个傻瓜曾经爱过你,我把难过留给自己,不做恋人我也心存感激。挽留女朋友行么不...
求魔幻小说的名字 求魔幻小说的名字要求:魔幻,原创郭敬明的《幻城》《七色绯夏:魔法学院录》华胥引、三生三世十里桃花、花...
贝利亚变成邪恶奥特曼的片名叫什... 贝利亚变成邪恶奥特曼的片名叫什么贝利亚变成邪恶奥特曼的片名叫什么雷欧尼克斯宇宙雷欧尼斯、叫大怪兽大战...
有一片作文,名叫仙女下凡 有一片作文,名叫仙女下凡 在一觉醒来之后,外面飘着大雪,不一会就给大地盖上了一件棉被,调皮的仙女公主...
考后消费需要“理性答卷”   离高考成绩放榜已经过去一段时间,2025年高招进入了最为关键的志愿填报和录取阶段。随着好消息的陆...
魏牌暴涨247%!长城汽车最新... (转自:车联新生态)7月1日,长城汽车对外发布2025年6月以及1-6月产销快报。数据显示,6月长城...
聚焦斑马线治理:让“车让人”从... “过去过斑马线得小跑,现在车主动减速挥手,心里踏实多了!”近日,市民李女士在城西区黄河路的切身感受,...
适于儿童看的书有哪些 适于儿童看的书有哪些最好是5~6年纪看的!拜托!床边的小豆豆