深入解读Nginx文件解析漏洞的细节

​本文已参与「新人创作礼」活动，一起开启掘金创作之路。

Nginx文件解析漏洞复现

漏洞介绍

该漏洞与Nginx、php版本无关，属于用户配置不当造成的解析漏洞

必要理解

cgi.fix_pathinfo

该选项位于配置文件php.ini中，默认值为1，表示开启。当php遇到文件路径/test.png/x.php时，若/test.png/x.php不存在，则会去掉最后的/x.php，然后判断/test.png是否存在，若存在，则把/test.png当做文件/test.png/x.php解析，如若test.png还不存在如果在其前面还有后缀，继续前面的步骤，以此类推。若是关闭该选项，访问/test.jpg/x.php 只会返回找不到文件。

security.limit_extensions

在我的配置文件中，它位于/etc/php-fpm.d/www.conf中

这个选项开始是被注释了的也就是默认只允许执行php文件，可以在后面添加其它后缀，比如

security.limit_extensions .jpg .php

像这样添加.jpg之后，.jpg文件也能以php格式来执行

修改了后需要service php-fpm restart重启php

复现过程

复现环境：借助vulhub的docker测试环境

直接进入到路径

nginx/nginx_parsing_vulnerability

运行

docker-compose up -d

启动之后查看配置，直接测试访问

​

​

上传图片木马成功之后，返回图片地址

​

成功访问

​

增加/x.php，可以发现图片就被解析成PHP文件

​

分析及防御

​

由于nginx做了如上配置，如果碰到.php后缀的就交给fastcgi来解析，因此我们可构造/test.jpg/.php(此处的.php必须是服务器端目录下不存在的如x.php等)，这里的test.jpg就是我们上传的图片木马

当fastcgi处理x.php时，发现文件不存在，这里php.ini配置文件中的cgi.fix_pathinfo=1就发挥了作用，如果当前路径不存在，就返回上层路径即test.jpg，此时fastcig就将test.jpg格式文件当php来解析了

但是，在php-fpm.conf配置文件中的security.limit_extensions配置项限制了fastcgi要解析的文件类型（如果该选项未开启，默认只解析.php）

查看配置文件发现这里未限制fastcgi要解析的格式，故造成nginx因错误配置不当发现解析漏洞

​

修改配置文件

​

此时再去添加/x.php访问我们上传的图片木马时，提示access denied 该漏洞修复。

​

漏洞修复

1. 在php版本比较低时，将php.ini文件中的cgi.fix_pathinfp的值设置为0，即关闭cgi解析
2. php-fpm.conf中的 security.limit_extensions =.php，即仅支持.php后缀解析

---

参考：

Vulhub - Docker-Compose file for vulnerability environment

xz.aliyun.com/t/6801

nginx解析漏洞复现 - 雨中落叶 - 博客园​