安全漏洞的复现与总结(11)

成功绕过。
这个漏洞主要原因是错误地解析了请求的URL，错误地获取到用户请求的文件名，导致出现权限绕过、代码执行的连带影响。
Nginx匹配到.php结尾的请求，就发送给fastcgi进行解析，常见的写法如下：

正常情况下（关闭pathinfo的情况下），只有.php后缀的文件才会被发送给fastcgi解析。
而存在CVE-2013-4547的情况下，我们请求1.jpgx20x00.php，这个URI可以匹配上正则.php$，可以进入这个Location块；但进入后，Nginx却错误地认为请求的文件是1.jpgx20，就设置其为SCRIPT_FILENAME的值发送给fastcgi。fastcgi根据SCRIPT_FILENAME的值进行解析，最后造成了解析漏洞。所以，我们只需要上传一个空格结尾的文件，即可使PHP解析之。

修复方法

升级版本

整数溢出(CVE-2017-7529)

漏洞原理

在Nginx的range filter中存在整数溢出漏洞，可以通过带有特殊构造的range的HTTP头的恶意请求引发这个整数溢出漏洞，并导致信息泄露。

影响版本

Nginx 0.5.6 – 1.13.2

漏洞复现

开启漏洞