【vulhub漏洞复现】CVE-2013-4547 Nginx 文件名逻辑漏洞
创始人
2024-05-28 21:50:24
0

一、漏洞详情

影响版本 Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

通过%00截断绕过后缀名的限制,使上传的php内容文件被解析执行。

当Nginx得到一个用户请求时,首先对url进行解析,进行正则匹配,如果匹配到以.php后缀结尾的文件名,会将请求的PHP文件交给PHP-CGI去解析。

假设服务器中存在文件‘123.png ',则可以通过访问如下网址让服务器认为'123.png '的后缀为php

http://127.0.0.1/123.png \0.php

代码层面来说,我们请求的url中123.png[0x20][0x00].php正好与location模块中的.php相匹配,但进入该模块后Nginx确认为请求的文件名是'123.png ',就设置其为script_name的值交给CGI进行解析,最终造成解析漏洞。

二、复现过程

  1. 搭建docker环境

docker-compose up -d

访问8080端口

  1. 上传图片马

创建一个新文档,保存为123.png

内容为:

GIF98A
GIF98A可以将文件伪造成图片,从而绕过一些文件上传的限制

bp抓包

  1. %00截断解析php文件

访问

http://192.168.239.128:8080/uploadfiles/123.png%20a.php

用bp抓包

a是占位符,把a的hex编码变为00(新版本的bp已经没有了之前的Hex选项,只能选中单个字符在右边的框里进行修改),点击apply changes

再把%20用一个空格代替

点击发送

phpinfo()被成功执行

三、总结

复现的过程卡在了bp上面

到现在也没弄懂为什么访问http://192.168.239.128:8080/uploadfiles/123.png时无法被抓包?

也算是个题外话,虚心求教🙏

相关内容

热门资讯

株冶集团(600961.SH)... 株冶集团(600961.SH)发布公告,公司预计2025年半年度实现归属于母公司所有者的净利润5.6...
新华保险(01336)拟出资1... 新华保险(01336)发布公告,于2025年7月4日,公司与基金管理人国丰兴华及基金托管人广发银行北...
ETF主力榜 | 上证180E...        2025年7月4日,上证180ETF(510180.SH)收涨0.28%,主力资金(单...
ETF主力榜 | 300红利低...        2025年7月4日,300红利低波ETF(515300.SH)收涨0.93%,主力资金...
ETF主力榜 | 5年地债ET...        2025年7月4日,5年地债ETF(159972.SZ)收涨0.01%,主力资金(单笔...
青龙管业:截止6月30日公司股... 投资者提问:问2025年6月30日公司股东人数是多少?董秘回答(青龙管业SZ002457):您好!截...
华明装备:上调回购股份资金总额... 转自:证券时报人民财讯7月4日电,华明装备(002270)7月4日晚间公告,公司将回购股份资金总额由...
4D科普电影节城图启幕   本报讯(记者 赵鹏)昨天下午,“影”领未来,童心一“夏”4D科普电影节开幕式在北京城市图书馆举行...
麦克奥迪:关于公司独立董事辞职...   炒股就看金麒麟分析师研报,权威,专业,及时,全面,助您挖掘潜力主题机会! 麦克奥迪(厦门)电气...
暑期到来 出境游这些健康风险需... 本文转自【央视新闻客户端】;国家卫生健康委今天举行新闻发布会介绍时令节气与健康有关情况。天津市疾控中...