vulhub:nginx解析漏洞CVE-2013-4547
创始人
2024-11-16 00:33:16
0

此漏洞为文件名逻辑漏洞,该漏洞在上传图片时,修改其16进制编码可使其绕过策略,导致解析为 php。当Nginx 得到一个用户请求时,首先对 url 进行解析,进行正则匹配,如果匹配到以.php后缀结尾的文件名,会将请求的PHP文件交给 PHP-CGI 去解析。

影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

漏洞复现

进入vulhub靶场 cd /vulhub-master/nginx/CVE-2013-4547 docker-compose build docker-compose up -d docker ps -a

上传 info.php 抓包,修改后缀为 jpg 并且添加空格,发送,然后上传成功

在 .jpg 后面添加两个空格并添加 .php 后缀,在16进制修改中将原本连个空格的 0x20 0x20 修改为如下即 0x20 0x00 ,然后发包

访问上传后的文件,由于url会将其编码,需要继续抓包修改 0x20 0x20 为 0x20 0x00

192.168.109.133:8080/uploadfiles/info.jpg%20%20.php

抓包后在BP中将原来的%20%20删除,改成两个空格方便修改

修改后再发包

上一篇:糖尿病合并肾病的护理-与糖尿病和肾病抗争多年,我的护理经历分享

下一篇:Redis基础总结、持久化、主从复制、哨兵模式、内存淘汰策略、缓存

相关内容

热门资讯

一分钟推荐“如何在微信上购买金... 新二号牛牛是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:160470940许多玩家在游戏中会购买房...
房卡必备教程“微信金花房卡哪里... 神皇大厅是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:160470940许多玩家在游戏中会购买房卡...
正版授权“微信斗牛房卡如何购买... 微信斗牛是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:86909166许多玩家在游戏中会购买房卡来...
终于找到“链接金花房卡哪里买/... 先锋大厅是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:44346008许多玩家在游戏中会购买房卡来...
微信群链接牛牛买房卡/微信炸金... 微信炸金花是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:86909166许多玩家在游戏中会购买房卡...
安卓TV9系统,系统革新与智能... 你有没有发现,最近你的安卓电视系统更新了?没错,就是那个安卓TV9系统!这可不是一个小小的更新,而是...
微信拼三张房卡怎么获得/微信炸... 微信炸金花是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:86909166许多玩家在游戏中会购买房卡...
微信斗牛牛房卡使用教程/金花房... 微信斗牛是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:44346008许多玩家在游戏中会购买房卡来...
牛牛房卡购买渠道/微信炸金花链... 微信炸金花是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:44346008许多玩家在游戏中会购买房卡...
金花房卡微信链接怎么卖/微信斗... 微信斗牛是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:15984933许多玩家在游戏中会购买房卡来...
购买金花房卡联系方式/斗牛房卡... 斗牛是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:86909166许多玩家在游戏中会购买房卡来享受...
一分钟了解“金花房卡平台购买联... 新世界牛牛是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:15984933许多玩家在游戏中会购买房卡...
秒懂教程“炸金花房卡链接在哪弄... 皇豪互众是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:86909166许多玩家在游戏中会购买房卡来...
炸金花房卡在哪有怎么购买/金花... 金花是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:160470940许多玩家在游戏中会购买房卡来享...
一分钟推荐“在哪里能买金花房卡... 起点大厅是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:15984933许多玩家在游戏中会购买房卡来...
微信斗牛房卡专卖店联系方式/微... 微信斗牛是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:160470940许多玩家在游戏中会购买房卡...
开牛牛群怎么买房卡/微信拼三张... 牛牛是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:44346008许多玩家在游戏中会购买房卡来享受...
秒懂教程“微信斗牛房间怎么弄/... 微信斗牛是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:160470940许多玩家在游戏中会购买房卡...
微信金花群房卡是怎么购买的/微... 牛牛是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:86909166许多玩家在游戏中会购买房卡来享受...
ia实测“微信开牛牛房卡在哪里... 神皇大厅是一款非常受欢迎的棋牌游戏,咨询房/卡添加微信:44346008许多玩家在游戏中会购买房卡来...