Nginx的漏洞浮现

news2024/12/25 14:44:08

本文参考https://vulhub.org/#/environments/nginx/nginx_parsing_vulnerability/

环境搭建均是采用docker

拉取环境请移步到参考。

一、Nginx的配置错误案列

1. CRLF注入漏洞

配置错误文件error1.conf

root@ubuntu-virtual-machine:/vulhub/vulhub-master/nginx/insecure-configuration/configuration# ll
total 20
drwxr-xr-x 2 root root 4096 3月  22 21:48 ./
drwxr-xr-x 5 root root 4096 3月  22 21:48 ../
-rw-r--r-- 1 root root  154 3月  22 21:48 error1.conf
-rw-r--r-- 1 root root  158 3月  22 21:48 error2.conf
-rw-r--r-- 1 root root  390 3月  22 21:48 error3.conf
server {
        listen 8080;

        root /usr/share/nginx/html;

        index index.html;

        server_name _;

        location / {
                return 302 http://$host:$server_port$uri;
        }
}

是由于302进行了重定向,然后Nginx会将$uri进行解码,导致传入%0d%0a即可引入换行符,造成CRLF注入漏洞。

这里解释一下¥uri

uri就是host后面的值 http://example.com/aaa (就是这个黄色的部分)

root@ubuntu-virtual-machine:/vulhub/vulhub-master/nginx/insecure-configuration# curl -I http://127.0.0.1:8080/%0d%0aSet-Cookie:%20a=1
HTTP/1.1 302 Moved Temporarily
Server: nginx/1.13.0
Date: Thu, 23 Mar 2023 03:20:05 GMT
Content-Type: text/html
Content-Length: 161
Connection: keep-alive
Location: http://127.0.0.1:8080/
Set-Cookie: a=1

root@ubuntu-virtual-machine:/vulhub/vulhub-master/nginx/insecure-configuratio

因为`$uri`是解码以后的请求路径,所以可能就会包含换行符,也就造成了一个CRLF注入漏洞。

这个CRLF注入漏洞可以导致会话固定漏洞、设置Cookie引发的CSRF漏洞或者XSS漏洞。其中,我们通过注入两个`\r\n`即可控制HTTP体进行XSS,但因为浏览器认为这是一个300跳转,所以并不会显示我们注入的内容。

解决方法:

1. `$uri`

2. `$document_uri`

3. `$request_uri`

使用第三种就不会进行解码啦

2.目录穿越漏洞

配置错误文件

server {
        listen 8081;

        root /usr/share/nginx/html;

        index index.html;

        server_name _;

    autoindex on;

        location /files {
        alias /home/;
    }
}
~   

这个常见于Nginx做反向代理的情况,动态的部分被proxy_pass传递给后端端口,而静态文件需要Nginx来处理。

假设静态文件存储在/home/目录下,而该目录在url中名字为files,那么就需要用alias设置目录的别名:

        location /files {
        alias /home/;
    }

此时,访问`http://example.com/files/readme.txt`,就可以获取`/home/readme.txt`文件。

但我们注意到,url上`/files`没有加后缀`/`,而alias设置的`/home/`是有后缀`/`的,这个`/`就导致我们可以从`/home/`目录穿越到他的上层目录:

Payload: http://your-ip:8081/files../ ,成功穿越到根目录:

进而我们获得了一个任意文件下载漏洞。

/user/share/nginx/html/config.php 有mysql配置 mysql 用户名和密码

如何解决这个漏洞?只需要保证location和alias的值都有后缀`/`或都没有这个后缀。

3. add_header被覆盖

Nginx配置文件子块(server、location、if)中的add_header,将会覆盖父块中的add_header添加的HTTP头,造成一些安全隐患。

查看配置文件

server {
        listen 8082;

        root /usr/share/nginx/html;

        index index.html;

        server_name _;

    autoindex on;

    add_header Content-Security-Policy "default-src 'self'";
    add_header X-Frame-Options DENY;

        location = /test1 {
                rewrite ^(.*)$ /xss.html break;
        }

        location = /test2 {
                add_header X-Content-Type-Options nosniff;
                rewrite ^(.*)$ /xss.html break;
    }
}

IE8里面新增了一个HTTP请求数据包header的属性X-Content-Type-Options。 可以通过使用X-Content-Type-Options:nosniff 选项来关闭IE的文档类型自动判断功能。

访问一下test2

点击src

他可以提取你传入的XSS从第一个开始截取

开始测试

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/437557.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

「解析」Pytorch 自动计算 batchsize

日志是一个十分必要的操作,有助于后期分析实验结果,特别是在多台不同环境下训练,为了区分,还是十分有必要记录相关平台信息的,比如 hostname,Python版本信息,Pytorch版本信息等! im…

SpringSecurity定义多个过滤器链

在Spring Security中可以定义多个过滤器链,一个WebSerityConfigurerAdapter的实例就可以配置一个过滤器链,我们只需要配置多个WebSerityConfigurerAdapter的实例即可 可以看到,当请求到达 FilterChainProxy 之后,FilterChainProx…

什么是 CDN

CDN 是一种用来分发内容的网络拓扑结构,在彻底搞明白它之前,我们需要先来理解另外两个名词。 1、节点 用户使用CDN网络前,CDN提供商会在全国/全球部署多个节点。这里的节点可以看做机房,或者服务器集群,专业的称呼是…

瑞吉外卖项目——前后端分离

前后端分离开发 介绍 前后端分离开发,就是在项目开发过程中,对于前端代码的开发由专门的前端开发人员负责,后端代码则由后端开发人员负责,这样可以做到分工明确、各司其职,提高开发效率,前后端代码并行开…

Compose 学习总结

ompose发布正式版已经有一段时间了。趁最近比较闲,抓紧学习一波。 学习过程中,主要以实战项目中常用技术为目标。下面是项目地址,会长期更新,希望能给正在学习Compose的小伙伴一点参考。同时您有什么好的建议,也可以提…

嗖的一下!3分钟用ChatGPT生成海南旅游思维导图!

大家好,我是菜鸟哥! 五一长假即将来临,很多小伙伴都要准备出去玩了!旅游肯定要做攻略啊,比如热门的景点海南三亚,北京,上海,成都这些都是打卡的网红景点!小编比较喜欢去海…

IIC协议相关

一.IIC协议初识 IIC(集成电路总线),半双工同步通信方式 *特点 1.简单性和有效性 由于接口直接在组件之上,因此IIC总线占用的空间特别小,减少了电路板的空间和芯片管脚的数量,降低了互联成本,总线的长度可高达25英尺…

Figma转Sketch的3种免费又快捷的方法!

Figma和Sketch是UI设计师常用的两款软件。Figma属于在线协作设计工具,而Sketch是一款本地应用程序。它们都有许多优点,深受许多设计师的喜爱。然而,在实际工作中,有时需要将这两种文件进行转换,例如将需要在Sketch中使…

AI绘画——Night Sky YOZORA Model 模型 ——“实现终极图像质量和大图像尺寸(>1536 x 1024)”

目录 Night Sky YOZORA Model 模型 ——“实现终极图像质量和大图像尺寸(>1536 x 1024)”由YozoRaAru培训 如果你需要更好的色彩表现,我推荐你试一下Color Box 省流版介绍:一个字“炫”,tag也是越炫越好 以下是…

javaweb830在线答疑系统dzkfA1A5程序

2.系统用户管理:不管是超级管理员还是普通管理员都需要管理系统用户,包括普通管理员的添加、删除、修改、查询,修改管理员的登录密码,新添加的管理员用户可以登录系统。 3.注册用户管理:游客在前…

多因子优化,多任务优化,多模式优化之间的区别

最近几年在进化计算这个圈子里多任务优化Multitasking很火,其中包含多因子Multifactorial Evolutionary, 多任务 Multitasking Evolutionary, 和多模式进化 Multiform Evolutionary。 今天就来讲讲他们之间的区别。 多因子优化 在“Enhancing Evolutionary Multi…

CCF-CSP真题《202303-1 田地丈量》思路+python,c++满分题解

想查看其他题的真题及题解的同学可以前往查看:CCF-CSP真题附题解大全 试题编号:202303-1试题名称:田地丈量时间限制:1.0s内存限制:512.0MB问题描述: 问题描述 西西艾弗岛上散落着 n 块田地。每块田地可视为…

HTTP与HTTPS详解

一、HTTP的概念 HTTP是超文本传输协议,是一种应用层协议,是基于为浏览器/服务器间提供统一的信息交换格式而出现的,其发展历程为HTTP/1.0、HTTP/1.1、HTTP/2、HTTP/3。 在HTTP/3之前,HTTP都是基于TCP传输的。 二、HTTP报文格式 …

设计模式之状态模式(C++)

作者:翟天保Steven 版权声明:著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处 一、状态模式是什么? 状态模式是一种行为型的软件设计模式,当一个对象的内在状态改变时,其行为…

C++ Linux Web Server 面试基础篇-操作系统(二)

⭐️我叫忆_恒心,一名喜欢书写博客的在读研究生👨‍🎓。 如果觉得本文能帮到您,麻烦点个赞👍呗! 近期会不断在专栏里进行更新讲解博客~~~ 有什么问题的小伙伴 欢迎留言提问欧,喜欢的小伙伴给个三连支持一下呗。👍⭐️❤️ Qt5.9专栏定期更新Qt的一些项目Demo 项目与…

ClickHouse分区表的正面与侧面

当我们处理连续数据并需要基于移动窗口(如,仅使用过去三个月数据)计算时使用分区功能非常有用,因为分区无需删除数据,就能高效避过不使用的(或过期)数据。本文介绍分区表原理,对比查…

一文读懂|数字化到底是什么?

现在大家都在说数字化,数字化到底是什么? 翻阅很多关于数字化的文章,大部分都在混淆术语,部分文章已经开始将数字化标记为数字化转型,以安抚管理层、获得项目批准或进行销售...... 所以这篇内容,我会尽可…

第十四章 动手,高级写法应用让SQL飞

参考《收获,不止SQL优化》作者: 梁敬彬 / 梁敬弘 所谓高级SQL,就是内部被优化过的SQL,可以用简单的语法实现复杂的功能,同时性能上还有提升。比如INSERT ALL、WITH子句、MERGE…… 一、 高级写法思维导图(自己整理&am…

java连接webservice

前言 WebService 也叫XML Web Service,WebService是一种可以接收从Internet或者Intranet上的其它系统中传递过来的请求,轻量级的独立的通讯技术。是通过SOAP在Web上提供的软件服务,使用WSDL文件进行说明,并通过UDDI进行注册。 一、…

什么是 IT 基础架构管理

各行各业的企业组织不断面临创新和扩展的压力。就在十多年前,一个企业组织可以争取时间,在投资新技术方面保持保守,同时仍然保持竞争优势。快进到今天,随着业务实践的变化和新技术的不断涌现,商业和技术格局更加动态。…