Nginx 文件名邏輯漏洞（CVE-2013-4547）

Path nginx/CVE-2013-4547

漏洞說明

影響版本：Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

參考鏈接：

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4547
• https://blog.werner.wiki/file-resolution-vulnerability-nginx/
• http://www.91ri.org/9064.html

漏洞說明

這個漏洞其實和代碼執行沒有太大關系，其主要原因是錯誤地解析了請求的URI，錯誤地獲取到用戶請求的文件名，導致出現權限繞過、代碼執行的連帶影響。

舉個例子，比如，Nginx匹配到.php結尾的請求，就發送給fastcgi進行解析，常見的寫法如下：

location ~ \.php$ {
    include        fastcgi_params;

    fastcgi_pass   127.0.0.1:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;
    fastcgi_param  DOCUMENT_ROOT /var/www/html;
}

正常情況下（關閉pathinfo的情況下），只有.php后綴的文件才會被發送給fastcgi解析。

而存在CVE-2013-4547的情況下，我們請求1.gif[0x20][0x00].php，這個URI可以匹配上正則\.php$，可以進入這個Location塊；但進入后，Nginx卻錯誤地認為請求的文件是1.gif[0x20]，就設置其為SCRIPT_FILENAME的值發送給fastcgi。

fastcgi根據SCRIPT_FILENAME的值進行解析，最后造成了解析漏洞。

所以，我們只需要上傳一個空格結尾的文件，即可使PHP解析之。

再舉個例子，比如很多網站限制了允許訪問后臺的IP：

location /admin/ {
    allow 127.0.0.1;
    deny all;
}

我們可以請求如下URI：/test[0x20]/../admin/index.php，這個URI不會匹配上location后面的/admin/，也就繞過了其中的IP驗證；但最后請求的是/test[0x20]/../admin/index.php文件，也就是/admin/index.php，成功訪問到后臺。（這個前提是需要有一個目錄叫test：這是Linux系統的特點，如果有一個不存在的目錄，則即使跳轉到上一層，也會爆文件不存在的錯誤，Windows下沒有這個限制）

漏洞測試

啟動漏洞環境：

docker-compose build
docker-compose up -d

環境啟動后，訪問http://your-ip:8080/即可看到一個上傳頁面。

這個環境是黑名單驗證，我們無法上傳php后綴的文件，需要利用CVE-2013-4547。我們上傳一個1.gif，注意后面的空格：

訪問http://your-ip:8080/uploadfiles/1.gif[0x20][0x00].php，即可發現PHP已被解析：

注意，[0x20]是空格，[0x00]是\0，這兩個字符都不需要編碼。