最近在学习nginx的配置,有一个设置需要在php.ini中把 cgi.fix_pathinfo = 1 改成cgi.fix_pathinfo=0, 想了解下这个参数设置的具体功能,所以百度了下,发现这里有一个PHP PATH_INFO的漏洞
(详见:https://bugs.php.net/bug.php?id=50852&edit=1)大致先了解下。
【漏洞分析】location对请求进行选择的时候会使用URI环境变量进行选择,其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定,而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的,这里就是产生问题的点。而为了较好的支持PATH_INFO的提取,在PHP的配置选项里存在cgi.fix_pathinfo选项,其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
【漏洞场景】在http://xiumu.blog.51cto.com/上传一张正常图片helloworld.jpg,可以访问,如果我们制作一个
PHP
webshell命名为hacker.php,复制命名为hacker.jpg,如果正常上传的话,那么下一步就是要考虑如何把hacker.jpg当做
hacker.php来执行。安全的情况下若执行http://xiumu.blog.51cto.com/hacker.jpg/abc.php,那么
URL会被分离成
目录"www\hacker.jpg\" 和文件"abc.php",
但如果存在PHP PATH_INFO漏洞的话将得到"hacker.jpg/abc.php",经过location指令,该请求将会交给后端的fastcgi处理,nginx为其设置环境变量SCRIPT_FILENAME,内容为"/scripts/hacker.jpg/abc.php",后端的fastcgi在接受到该选项时,会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理,一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用,所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字,查找的方式也是查看文件是否存在,这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为
/scripts/hacker.jpg和abc.php
最后,以/scripts/hacker.jpg作为此次请求需要执行的脚本,攻击者就可以实现让nginx以php来解析任何类型的文件了。
不过后来发现其导致PHP的超全局变量 $_SERVER[‘PHP_SELF‘]为空于是有些程序会出错(比如Discuz会拼接出错误图片头像路径)。
【解决方法】
方法一:修改php.ini,设置cgi.fix_pathinfo = 0;然后重启php-cgi。此修改会影响到使用PATH_INFO伪静态的应用,例如:http://xiumu.blog.51cto.com/520.html 就不能访问了。
方法二:在nginx的配置文件添加如下内容后重启:if ( $fastcgi_script_name ~ \..*\/.*php ) {return 403;}。该匹配会影响类似 http://xiumu.blog.51cto.com/5.0/helloworld.php的访问。
方法三:
----------代码源自网络----------
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 403;
}
fastcgi_param GATEWAY_INTERFACE CGI/1.1;
fastcgi_param SERVER_SOFTWARE nginx;
fastcgi_param QUERY_STRING $query_string;
fastcgi_param REQUEST_METHOD $request_method;
fastcgi_param CONTENT_TYPE $content_type;
fastcgi_param CONTENT_LENGTH $content_length;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param SCRIPT_NAME $uri;
fastcgi_param REQUEST_URI $request_uri;
fastcgi_param DOCUMENT_URI $document_uri;
fastcgi_param DOCUMENT_ROOT $document_root;
fastcgi_param SERVER_PROTOCOL $server_protocol;
fastcgi_param REMOTE_ADDR $remote_addr;
fastcgi_param REMOTE_PORT $remote_port;
fastcgi_param SERVER_ADDR $server_addr;
fastcgi_param SERVER_PORT $server_port;
fastcgi_param SERVER_NAME $server_name;
# PHP only, required if PHP was built with --enable-force-cgi-redirect
fastcgi_param REDIRECT_STATUS 200;
----------结束----------
新建一个名为:fastcgi.conf,将以上内容保存进去,同时在localtion里面做如下设置:
----------代码源自网络----------
location ~* .*\.php($|/)
{
if ($request_filename ~* (.*)\.php) {
set $php_url $1; #请根据实际情况设置
}
if (!-e $php_url.php) {
return 403;
}
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}
----------结束----------
《nginx文件类型错误解析漏洞》http://www.80sec.com/nginx-securit.html#more-163
《再提供一种解决Nginx文件类型错误解析漏洞的方法》http://zyan.cc/nginx_0day/
本文出自 “朽木自雕” 博客,请务必保留此出处http://xiumu.blog.51cto.com/311602/1722974
nginx设置cgi.fix_pathinfo漏洞和解决方法
原文:http://xiumu.blog.51cto.com/311602/1722974