风雪之隅
msgbartop
PHP语言, PHP扩展, Zend引擎相关的研究,技术,新闻分享 – 左手代码 右手诗
msgbarbottom

20 May 10 Nginx + PHP CGI的一个可能的安全漏洞

现在普遍的Nginx + PHP cgi的做法是在配置文件中, 通过正则匹配(Nginx(PHP/fastcgi)的PATH_INFO问题)设置SCRIPT_FILENAME, 今天小顿发现了一个这种方式的安全漏洞.

比如, 有http://www.laruence.com/fake.jpg, 那么通过构造如下的URL, 就可以看到fake.jpg的二进制内容:


http://www.laruence.com/fake.jpg/foo.php

为什么会这样呢?

比如, 如下的nginx conf:

location ~ \.php($|/) {
	fastcgi_pass   127.0.0.1:9000;
	fastcgi_index  index.php;

	set $script    $uri;
	set $path_info "";
	if ($uri ~ "^(.+\.php)(/.*)") {
		set  $script     $1;
		set  $path_info  $2;
	}

	include       fastcgi_params;
	fastcgi_param SCRIPT_FILENAME   $document_root$script;
	fastcgi_param SCRIPT_NAME       $script;
	fastcgi_param PATH_INFO         $path_info;
}

通过正则匹配以后, SCRIPT_NAME会被设置为”fake.jpg/foo.php”, 继而构造成SCRIPT_FILENAME传递个PHP CGI, 但是PHP又为什么会接受这样的参数, 并且把a.jpg解析呢?

这就要说到PHP的cgi SAPI中的参数, fix_pathinfo了:

; cgi.fix_pathinfo provides *real* PATH_INFO/PATH_TRANSLATED support for CGI.  PHP's
; previous behaviour was to set PATH_TRANSLATED to SCRIPT_FILENAME, and to not grok
; what PATH_INFO is.  For more information on PATH_INFO, see the cgi specs.  Setting
; this to 1 will cause PHP CGI to fix it's paths to conform to the spec.  A setting
; of zero causes PHP to behave as before.  Default is 1.  You should fix your scripts
; to use SCRIPT_FILENAME rather than PATH_TRANSLATED.
cgi.fix_pathinfo=1

如果开启了这个选项, 那么就会触发在PHP中的如下逻辑:

/*
 * if the file doesn't exist, try to extract PATH_INFO out
 * of it by stat'ing back through the '/'
 * this fixes url's like /info.php/test
 */
if (script_path_translated &&
	(script_path_translated_len = strlen(script_path_translated)) > 0 &&
	(script_path_translated[script_path_translated_len-1] == '/' ||
....//以下省略.

到这里, PHP会认为SCRIPT_FILENAME是fake.jpg, 而foo.php是PATH_INFO, 然后PHP就把fake.jpg当作一个PHP文件来解释执行… So…

这个隐患的危害用小顿的话来说, 是巨大的.

对于一些论坛来说, 如果上传一个图片(实际上是恶意的PHP脚本), 继而构造这样的访问请求…

所以, 大家如果有用这种服务器搭配的, 请排查, 如果有隐患, 请关闭fix_pathinfo(默认是开启的).

详细漏洞信息, 请移步小顿的BLOG: 80Sec

另: 我认为这个和Nginx没啥关系, 不属于Nginx的漏洞. 是配置的问题, 现在到处都在说是Nginx的Bug, 不妥不妥.


分享到:



Related Posts:

Tags: , , ,

Filed in PHP应用
«
»

69 Responses to “Nginx + PHP CGI的一个可能的安全漏洞”

Pages: [7] 6 5 4 31 » Show All

  1. Nginx(PHP/fastcgi)的PATH_INFO问题 » ijser | 18 Nov 2011 15:00

    [...] 最近发现的一个安全漏洞(Nginx + PHP CGI的一个可能的安全漏洞)和这个配置有关系, 请大家务必在使用第二种配置的时候,关闭cgi.fix_pathinfo. [...]

  2. Anonymous | 13 Sep 2011 18:34

    我试了,我的nginx/0.7.67版本没有这个问题

  3. nginx php fpm紧急漏洞修复!cgi.fix_pathinfo – www.ncun123.com博客 | 10 Aug 2011 18:32

    [...] PS: 鸣谢laruence大牛在分析过程中给的帮助 [...]

  4. PATH_INFO是一个CGI 1.1的标准,经常用来做为传参载体. – www.ncun123.com博客 | 10 Aug 2011 15:49

    [...] 最近发现的一个安全漏洞(Nginx + PHP CGI的一个可能的安全漏洞)和这个配置有关系, 请大家务必在使用第二种配置的时候,关闭cgi.fix_pathinfo. [...]

  5. nginx文件类型错误解析漏洞 | 一沙一世界 一花一天堂 | 10 Jul 2011 13:34

    [...] 鸣谢laruence大 [...]

  6. Penetration Testing Lab › Nginx Security Law | 09 Apr 2011 09:58

    [...] [1]http://hi.baidu.com/yuange1975/blog/item/4c223031a6727eaf5edf0e46.html [2]http://www.laruence.com/2010/05/20/1495.html This was written by admin. Posted on Friday, May 21, 2010, at 12:51 pm. Filed under Exploit. [...]

  7. nginx文件类型错误解析漏洞 | Seczone | 04 Apr 2011 21:49

    [...] PS: 鸣谢laruence大牛在分析过程中给的帮助 [...]

  8. Wiki | 01 Apr 2011 19:49

    Wiki is a very useful page.

  9. DADSA | 22 Mar 2011 23:45

    DASASDSA

Pages: [7] 6 5 4 31 » Show All

Leave a Reply

*

sidebartop

Laruence

PHP开发组成员, PECL开发者, 曾供职于雅虎, 现就职百度.

sidebarbottom
sidebartop

Advanced Random Posts

sidebarbottom
sidebartop

Recent Comments

sidebarbottom
sidebartop

Tags

sidebarbottom
sidebartop

Google Adv

sidebarbottom
sidebartop

Projects

Yaf(用PHP扩展实现的PHP框架)
Plua(Lua for PHP)
Mpass(PHP多进程Socket解决方案)
bTwitter(Twitter Bash客户端)
PHP Opcode Dumper
Info Store Platform
Eve JsLoader
Pallas PHP CMS
sidebarbottom
sidebartop

friends

sidebarbottom
sidebartop

Visitor ClustrMaps

Locations of visitors to this page
sidebarbottom
© 风雪之隅/ / 京ICP备09034578号/ Theme By Smashing/ 提供稳定空间及带宽保障