您当前的位置:首页 > 电脑百科 > 站长技术 > 服务器

五个案例“熄灭”Nginx漏洞隐患

时间:2019-10-30 17:46:14  来源:  作者:

Nginx从2004年10月发布至今,已经趋于成熟和完善。

在连接高并发的情况下,Nginx是Apache服务不错的替代品,作为一款分布式轻量级的中间件Nginx也是存在大量的漏洞的。

下面我们针对常见的漏洞来进行探讨。

01

目录遍历漏洞

漏洞介绍

Nginx的目录遍历漏洞属于配置不当导致的漏洞,错误的配置使得目录被遍历与源码泄露‘。该漏洞的产生与nginx.conf文件中的autoindex(目录浏览功能)参数设置有关,默认是关闭的状态,即autoindex off。例如打开test文件夹,出现403,如下图所示:

五个案例“熄灭”Nginx漏洞隐患

 

修改配置文件,该文件位置如下:

五个案例“熄灭”Nginx漏洞隐患

 

在如下图所示的位置添加autoindex on,重启Nginx:

五个案例“熄灭”Nginx漏洞隐患

 

 

再次访问,即可访问到目录:

五个案例“熄灭”Nginx漏洞隐患

 

 

漏洞修复

✔ 将/etc/nginx/sites-avaliable/default里的autoindex on改为autoindex off。

 

02

目录穿越漏洞

 

漏洞介绍

Nginx经常被做为反向代理,动态的部分被proxy_pass传递给后端端口,而静态文件需要nginx来处理。如果静态文件存储在/home/目录下,而该目录在url中名字为files,那么就需要用设置目录的别名,如下所示:

location /files {
 alias /home/;
}

此时,访问http:// xxx.xx.xx /files/readme.txt,就可以获取/home/readme.txt文件。但我们注意到,url上/files没有加后缀“/”,而alias设置的/home/是有后缀“/”的,这个/就导致我们可以从/home/目录穿越到他的上层目录,进而我们获得了一个任意文件下载漏洞:

 

五个案例“熄灭”Nginx漏洞隐患

 

 

漏洞修复

✔ location 和 alias 的值要不都加“/”, 要不都加,统一即可。

 

03

服务端请求伪造漏洞

 

漏洞介绍

一般情况下,服务端请求伪造的目标是从外网无法访问的内部系统,服务端请求是利用存在缺陷的web应用作为代理的远程和本地的服务器,常出现在反向代理的配置中,反向代理的语法如下:proxy_pass http ://IP。正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统。

这里将nginx里的相关配置展示一下:

五个案例“熄灭”Nginx漏洞隐患

 

如果利用者可以操控IP, 将其修改成内网IP地址即可造成服务端请求伪造漏洞。例如对外网、内网、本地进行端口扫描,某些情况下端口的Banner会显出来(比如3306),我们可通过返回banner的差异值来猜测内网IP,从而拿到内网IP信息。

漏洞修复

✔ 过滤返回信息,验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。

✔ 统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态。

✔ 限制请求的端口为http常用的端口,比如,80,443,8080,8090。

✔ 黑名单内网ip。避免应用被用来获取获取内网数据,破坏内网。

✔ 禁用不需要的协议。仅仅允许http和https请求。可以防止类似于file:///, gopher://, ftp:// 等引起的问题。

 

04

版本泄露

 

漏洞介绍

对于nginx服务器,之前曾爆出过不同版本的解析漏洞,比如nginx 0.7.65以下(0.5., 0.6., 0.7. )全版本系列和0.8.37(0.8.)以下8系列受影响。

假设在存在漏洞的站点上有一张图片url地址为:http://x.x.x.x/logo.jpg , 当正常访问图片时,nginx会把这个当作非脚本语言直接读取传送会客户端(也就是浏览器),但是存在解析漏洞的nginx会把如下连接解析并且当作php文件执行,也就是前面介绍过的文件解析漏洞:

  •  
http://x.x.x.x/logo.jpg/x.php
http://x.x.x.x/logo.jpg%00x.php

因此隐藏 Nginx 的版本号,可以在一定程度上提高安全性。

漏洞修复

✔ 在配置文件nginx.conf里面,设置如下:server_tokens off。

 

05

整数溢出漏洞

漏洞介绍

在Nginx的range filter中存在整数溢出漏洞,可以通过带有特殊构造的range的HTTP头的恶意请求引发这个整数溢出漏洞,并导致信息泄露。

HTTP的Range允许客户端分批次请求资源的一部分,如果服务端资源较大,可以通过Range来并发下载;如果访问资源时网络中断,可以断点续传。Range设置在HTTP请求头中,它是多个byte-range-spec(或suffix-byte-range-spec)的集合,如下所示:

五个案例“熄灭”Nginx漏洞隐患

 

 

其中,first-bytes-pos指定了访问的第一个字节,last-byte-pos指定了最后一个字节,suffix-length则表示要访问资源的最后suffix-length个字节的内容。例如:

Range:bytes=0-1024 表示访问第0到第1024字节;

Range:bytes=500-600,601-999,-300 表示分三块访问,分别是500到600字节,601到600字节,最后的300字节。

在Response头中设置:Accept-Ranges:bytes 表示接受部分资源的请求;

Content-Range: bytes START-END/SIZE 表示返回的资源位置;其中SIZE等于Content-Length;如:Content-Range: bytes 500-600/1000

 

如果一次请求有多个range,返回的数据需要multipart来组织;格式如下:

五个案例“熄灭”Nginx漏洞隐患

Nginx对Range的支持包括header处理和body处理,分别用来解析客户端发送过来的Range header和裁剪返回给客户端的请求数据Body。其实现分别由ngx_http_range_header_filter_module和ngx_http_range_body_filter_module两个过滤模块完成。

在ngx_http_range_header_filter_module中调用了ngx_http_range_header_filter函数,而该函数进一步调用了ngx_http_range_parse函数来解析header中的Range字段;分别调用ngx_http_range_singlepart_header和ngx_http_range_multipart_header来生成single range和multi ranges的Response Header;

本次复现利用使用Nginx-1.12.0作为缓存服务器,缓存配置同上文,访问的目标文件仍然是http://www.baidu.com/img/bd_logo1.png 。

首先,不指定range,得到该图片文件的长度为7877,如下所示:

五个案例“熄灭”Nginx漏洞隐患

设置第一段range为-8500,此时的start为7877-8500=-623,即图片在Cache文件偏移之前的623 bytes也会被返回,而这623 bytes中就包含了Cache文件头部。

下一步,按照上文所说,第二段range的长度需要将总长度溢出。我们的目标总和size为0×8000000000000000,第一段range长度为8500,故第二段range长度为0×8000000000000000-8500=9223372036854767308。

于是,使用curl命令,配合-r参数指定bytes range:

五个案例“熄灭”Nginx漏洞隐患

 

 

可以看到返回内容中,第一段即为-8500的range,而这一段中我们就看到了Cache文件头部,例如cache key以及后端服务器返回的HTTP头。

漏洞修复

✔ 综合来看,这个漏洞就是整数溢出漏洞的利用,能够从Cache文件中获取Cache头的信息。在某些配置的情况下Cache头中会存在IP地址信息,造成信息泄露。就Nginx模块以及常用的第三方模块本身来说,无法通过这个整数溢出来对内存进行操作或者远程执行。

✔ 建议升级到1.13.3和1.12.1版本;如果不能升级,可以在Nginx配置文件中添加max_ranges 1,从而禁用multipart range。



Tags:Nginx漏洞   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除,谢谢。
▌相关推荐
Nginx从2004年10月发布至今,已经趋于成熟和完善。在连接高并发的情况下,Nginx是Apache服务不错的替代品,作为一款分布式轻量级的中间件Nginx也是存在大量的漏洞的。下面我们针...【详细内容】
2019-10-30  Tags: Nginx漏洞  点击:(60)  评论:(0)  加入收藏
▌简易百科推荐
最近发现点好玩的工具,迫不及待地想跟大家分享一下。大家平时都怎么查Linux日志呢?像我平时会用tail、head、cat、sed、more、less这些经典系统命令,或者awk这类三方数据过滤工...【详细内容】
2021-07-16  程序猿阿嘴  公众号  Tags:Linux日志   点击:(2)  评论:(0)  加入收藏
nginx配置文件详解#启动子进程程序默认用户#user nobody;#一个主进程和多个工作进程。工作进程是单进程的,且不需要特殊授权即可运行;这里定义的是工作进程数量worker_proce...【详细内容】
2021-07-16  请叫我老菜鸟    Tags:nginx   点击:(1)  评论:(0)  加入收藏
上云在今天几乎已经成了很多企业的标配,云服务器因为不需要运维人员去机房维护,也不需要企业去建设机房等,大大降低了企业的IT资源门槛,可以帮助用户快速实现业务部署。云服务器...【详细内容】
2021-07-14  云服务批发部    Tags:云服务器   点击:(4)  评论:(0)  加入收藏
做运维的都知道,服务器出点问题,就够我们受的,轻则被骂,重则丢饭碗,所以,每逢节假日,我们恨不得在机房点上三柱香、贴上几张符,给服务器和网络设备跪拜一番,求它们别出问题,也让我们过...【详细内容】
2021-07-13  IT狂人日志    Tags:服务器   点击:(5)  评论:(0)  加入收藏
Nginx是现在最火的服务器web和反向代理服务器,反向代理是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给inte...【详细内容】
2021-07-09  数通畅联    Tags:Nginx配置   点击:(4)  评论:(0)  加入收藏
1. 实验说明:前面的章节我们已经简单学习了windows server2019上如何搭建web服务器的,有的同学可能在上网的过程中会发现有些域名是使用的http访问而有的域名则是使用https加...【详细内容】
2021-07-07  Kali与编程    Tags:https   点击:(5)  评论:(0)  加入收藏
作者:vbirdbestblog.csdn.net/vbirdbest/article/details/80913319一、HTTP服务器Nginx本身也是一个静态资源的服务器,当只有静态资源的时候,就可以使用Nginx来做服务器,如果一...【详细内容】
2021-07-06  vbirdbest  CSDN  Tags:Nginx   点击:(16)  评论:(0)  加入收藏
1.实验说明:Web服务器一般指网站服务器,是指驻留于因特网上某种类型计算机的程序,可以处理浏览器等Web客户端的请求并返回相应响应,也可以放置网站文件,让全世界浏览;可以放置数据...【详细内容】
2021-07-06  Kali与编程    Tags:web服务器   点击:(16)  评论:(0)  加入收藏
一、前言server.xml 配置,是 Tomcat启动配置,从配置结构可以看出 Tomcat 的整体架构。如果能够了解其常用配置项,对 Tomcat有一个高屋建瓴的把握,然后再庖丁解牛,一步步深入源码...【详细内容】
2021-07-04  徐同学呀  CSDN  Tags:Tomcat   点击:(10)  评论:(0)  加入收藏
我们常常会听到这样一句话:“为了让研发只关心业务开发,我们做了某某某!”做了啥呢,做了让你不用关心,系统搭建、技术框架、核心组件、通用模块以及上线应用时也只是点点点就可以...【详细内容】
2021-07-04  IT技术管理那些事儿    Tags:服务器   点击:(9)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条