Nginx解析漏洞復現以及哥斯拉連線Webshell實踐

Nginx解析漏洞復現以及哥斯拉連線Webshell實踐

目錄

• 1. 環境
• 2. 過程
  • 2.1 vulhub映象拉取
  • 2.2 漏洞利用
  • 2.3 webshell上傳
  • 2.4 哥斯拉Webshell連線
• 3. 原理分析
• 4. 踩坑
  • 4.1 Webshell連線不上

1. 環境

  kali linux
  docker+vulhub
  nginx(1.19.6)+php(7.4.15)

2. 過程

2.1 vulhub映象拉取

  vulhub安裝的話去官網上有安裝教程
  https://vulhub.org/
  安裝好之後進入到對應的目錄下
  執行docker-compose up -d
  完成之後docker ps -a可以檢視容器資訊

2.2 漏洞利用

  正常訪問80埠，是一個檔案上傳點，後面webshell就可以走這裡上傳

  再去看看官網給出的示例，訪問http://192.168.197.128/uploadfiles/nginx.png

  使用Burpsuite抓包看看返回值，發現圖片後加了一句phpinfo

  訪問http://192.168.197.128/uploadfiles/nginx.png/.php

  新增/.php後會被解析成php檔案，漏洞的成因下面會說，到這裡的話vulhub官網上的漏洞已經復現完成了，下面的內容主要是使用哥斯拉連線Webshell。

2.3 webshell上傳

  哥斯拉地址:https://github.com/BeichenDream/Godzilla/releases/tag/v1.00-godzilla
  這裡就不多介紹了，主要功能就是生成Webshell，連線Webshell（廢話），流量加密通訊，以及後續的Shell管理。
  點選管理-生成就可以生成Shell，密碼的話就是通訊時候的引數名稱，金鑰的話就是加密通訊的金鑰，這兩個引數可以自定義，需要記好，後續連線webshell時需要提供。有效載荷的話就選擇PHP。

  輸個檔名選擇目錄就可以生成了

  生成結果如下

  檢視Webshell內容

  Webshell生成好了之後下面就是上傳了
  ①首先直接修改檔案字尾上傳

  上傳失敗，字尾與MIME的值都沒用
  ②製作圖片
  既然字尾與MIME都不管用，那應該就是校驗的檔案頭（既然存在解析漏洞，其他的各種繞過就不去試了），直接做一個圖片木馬

  生成圖片內容如下

  直接上傳圖片，返回路徑

2.4 哥斯拉Webshell連線

  點選目標-新增，把之前的配置再輸一遍就行，注意url這裡填的的存在解析漏洞的路徑，也就是/.php，這裡使用http代理，走8080埠，這樣就可以用Burpsuite抓包了。

  配置完之後右鍵點選進入，就連上了（實際情況在這裡猛踩坑）

  成功介面如下

  到這裡的話流程就走完了，拿到了Webshell，下一步就開始提權了，那就是另外的一回事了。

3. 原理分析

  這一漏洞是因為Nginx中php配置不當造成的，與Nginx版本無關
  ①cgi.fix_pathinfo=1
  這個引數值為1，表示開啟，即當解析遇到不存在的路徑時，就會去掉該項，繼續依次解析，所以當aaa.jpg/.php被解析時，便會去掉/.php，繼續解析aaa.jpg。
  ②security.limit_extensions = .php .jpg
  這個引數限制了可執行檔案的字尾，預設只允許執行.php檔案，配置不當的話就會執行jpg檔案。

4. 踩坑

4.1 Webshell連線不上

  開心上傳Webshell後，竟然連不上去，用Burpsuite抓包檢視報了這個錯誤，具體的原因沒有深究，百度了一下解決方法就是修改php.ini配置檔案中的session.auto_start = 1

  之前的phpinfo內有相關路徑（/usr/local/etc/php/conf.d/php.ini）

  docker exec -t -i nginx_parsing_vulnerability_php_1進入php容器
  進去之後發現conf.d目錄下沒有php.ini檔案，然後把上級目錄下的php.ini-development這個檔案拷貝過去
  cp php.ini-development /usr/local/etc/php/conf.d/php.ini
  拷貝過去之後準備編輯檔案，發現docker沒有vim，然後一頓操作apt-get update，apt-get install vim把vim裝好
  修改其中的session.auto_start = 1

  （修改完之後準備開心連Webshell時，突然想起來這個配置要更新一下，但是之前很少使用docker，也不曉得怎麼重啟容器內環境，就手賤docker restart了php容器，至此前面的所有工作全部白費，再重來一遍）
  由於安裝的是php-fpm，支援USER2訊號，這個訊號用於重新載入配置檔案
  容器內部執行
  kill -USR2 10
  容器外部執行
  docker exec -it nginx_parsing_vulnerability_php_1 ps aux
  docker exec -it nginx_parsing_vulnerability_php_1 kill -USR2 10
  這裡的10這個值是PID，使用ps aux|grep php檢視，這裡又出現了一個問題，docker內也沒有ps，所以想要在容器內部執行這條命令的話需要apt-get install procps安裝一下，如果是在容器外部執行命令的話應該沒這個問題

  這裡看到PID就是10，然後執行kill -USR2 10

  到這裡的話配置就更新完畢
  再次返回Bursuite發包檢視返回資訊，發現之前的WARNING變成了NOTICE

  再次使用哥斯拉就可以連上Webshell了