码迷,mamicode.com
首页 > 其他好文 > 详细

nginx设置cgi.fix_pathinfo漏洞和解决方法

时间:2015-12-14 23:24:54      阅读:1728      评论:0      收藏:0      [点我收藏+]

标签:解决方法   nginx设置cgi.fix_pathinfo   cgi.fix_pathinfo漏洞   

最近在学习nginx的配置,有一个设置需要在php.ini中把 cgi.fix_pathinfo = 1 改成cgi.fix_pathinfo=0, 想了解下这个参数设置的具体功能,所以百度了下,发现这里有一个PHP PATH_INFO的漏洞
(详见:https://bugs.php.net/bug.php?id=50852&edit=1)大致先了解下。


【漏洞分析】location对请求进行选择的时候会使用URI环境变量进行选择,其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定,而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的,这里就是产生问题的点。而为了较好的支持PATH_INFO的提取,在PHP的配置选项里存在cgi.fix_pathinfo选项,其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。


【漏洞场景】在http://xiumu.blog.51cto.com/上传一张正常图片helloworld.jpg,可以访问,如果我们制作一个 PHP webshell命名为hacker.php,复制命名为hacker.jpg,如果正常上传的话,那么下一步就是要考虑如何把hacker.jpg当做 hacker.php来执行。安全的情况下若执行http://xiumu.blog.51cto.com/hacker.jpg/abc.php,那么 URL会被分离成


目录"www\hacker.jpg\" 和文件"abc.php",


但如果存在PHP PATH_INFO漏洞的话将得到"hacker.jpg/abc.php",经过location指令,该请求将会交给后端的fastcgi处理,nginx为其设置环境变量SCRIPT_FILENAME,内容为"/scripts/hacker.jpg/abc.php",后端的fastcgi在接受到该选项时,会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理,一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用,所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字,查找的方式也是查看文件是否存在,这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为

/scripts/hacker.jpg和abc.php

最后,以/scripts/hacker.jpg作为此次请求需要执行的脚本,攻击者就可以实现让nginx以php来解析任何类型的文件了。

不过后来发现其导致PHP的超全局变量 $_SERVER[‘PHP_SELF‘]为空于是有些程序会出错(比如Discuz会拼接出错误图片头像路径)。

【解决方法】

方法一:修改php.ini,设置cgi.fix_pathinfo = 0;然后重启php-cgi。此修改会影响到使用PATH_INFO伪静态的应用,例如:http://xiumu.blog.51cto.com/520.html 就不能访问了。


方法二:在nginx的配置文件添加如下内容后重启:if ( $fastcgi_script_name ~ \..*\/.*php ) {return 403;}。该匹配会影响类似 http://xiumu.blog.51cto.com/5.0/helloworld.php的访问。


方法三:

----------代码源自网络----------

if ($request_filename ~* (.*)\.php) {
    set $php_url $1;
}
if (!-e $php_url.php) {
    return 403;
}

fastcgi_param  GATEWAY_INTERFACE  CGI/1.1;
fastcgi_param  SERVER_SOFTWARE    nginx;

fastcgi_param  QUERY_STRING       $query_string;
fastcgi_param  REQUEST_METHOD     $request_method;
fastcgi_param  CONTENT_TYPE       $content_type;
fastcgi_param  CONTENT_LENGTH     $content_length;

fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;
fastcgi_param  SCRIPT_NAME        $uri;
fastcgi_param  REQUEST_URI        $request_uri;
fastcgi_param  DOCUMENT_URI       $document_uri;
fastcgi_param  DOCUMENT_ROOT      $document_root;
fastcgi_param  SERVER_PROTOCOL    $server_protocol;

fastcgi_param  REMOTE_ADDR        $remote_addr;
fastcgi_param  REMOTE_PORT        $remote_port;
fastcgi_param  SERVER_ADDR        $server_addr;
fastcgi_param  SERVER_PORT        $server_port;
fastcgi_param  SERVER_NAME        $server_name;

# PHP only, required if PHP was built with --enable-force-cgi-redirect
fastcgi_param  REDIRECT_STATUS    200;


----------结束----------

新建一个名为:fastcgi.conf,将以上内容保存进去,同时在localtion里面做如下设置:


----------代码源自网络----------

location ~* .*\.php($|/)
{
      if ($request_filename ~* (.*)\.php) {
            set $php_url $1;   #请根据实际情况设置
      }
      if (!-e $php_url.php) {
            return 403;
      }

      fastcgi_pass  127.0.0.1:9000;
      fastcgi_index index.php;
      include fcgi.conf;
}

----------结束----------


参考网站:

《nginx文件类型错误解析漏洞》http://www.80sec.com/nginx-securit.html#more-163

《再提供一种解决Nginx文件类型错误解析漏洞的方法》http://zyan.cc/nginx_0day/







本文出自 “朽木自雕” 博客,请务必保留此出处http://xiumu.blog.51cto.com/311602/1722974

nginx设置cgi.fix_pathinfo漏洞和解决方法

标签:解决方法   nginx设置cgi.fix_pathinfo   cgi.fix_pathinfo漏洞   

原文地址:http://xiumu.blog.51cto.com/311602/1722974

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!