安全漏洞的复现与总结

Nginx简介

Nginx(engine x) 是一个高性能的HTTP和反向代理web服务器，同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布，因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日，nginx 1.0.4发布。
Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，在BSD-like 协议下发行。
其特点是占有内存少，并发能力强，事实上nginx的并发能力在同类型的网页服务器中表现较好，中国大陆使用nginx网站用户有：百度、京东、新浪、网易、腾讯、淘宝等。

Nginx环境安装

这里我用的小皮代替，就不一步步安装了

Nginx渗透

为了感谢广大读者伙伴的支持，准备了以下福利给到大家：【一>所有资源关注我，私信回复“资料”获取<一】1、200多本网络安全系列电子书（该有的都有了）2、全套工具包（最全中文版，想用哪个用哪个）3、100份src源码技术文档（项目学习不停，实践得真知）4、网络安全基础入门、Linux、web安全、攻防方面的视频（2021最新版）5、网络安全学习路线（告别不入流的学习）6、ctf夺旗赛解析（题目解析实战操作）

文件解析漏洞

漏洞描述

该漏洞与nginx、php版本无关，属于用户配置不当造成的解析漏洞。由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,对于任意文件名，在后面添加/xxx.php（xxx）为任意字符后，即可将文件作为php解析。