CVE-2013-4547 Nginx解析漏洞深入分析与复现指南

漏洞概述

CVE-2013-4547是Nginx服务器中的一个严重安全漏洞，涉及URI解析过程中的异常处理问题。该漏洞允许攻击者通过精心构造的请求绕过安全限制，可能导致权限绕过和远程代码执行。

漏洞形成原因

漏洞核心在于Nginx错误地解析了包含特定字符序列的URI：

• 空格字符(0x20)
• 截止符(0x00)

当URI中包含这些特殊字符时，Nginx会错误地解析请求的文件名，导致安全校验被绕过。

影响版本

• Nginx 0.8.41至1.4.3
• Nginx 1.5.7之前的1.5.x版本

漏洞复现环境准备

必要工具

1. Burp Suite 1.7.31（注意：较新版本如3.4可能存在兼容性问题）
2. 火狐渗透版浏览器
3. 存在漏洞的Nginx服务器环境

为什么使用Burp 1.7.31

较新版本的Burp Suite（如3.4）在处理该漏洞时可能出现以下问题：

• 浏览器持续加载不完成
• 最终出现执行错误
• 特殊字符处理方式不同

漏洞复现步骤详解

第一步：文件上传

1. 上传一个合法文件（如图片）到服务器
2. 获取文件上传后的访问路径（如：/uploads/test.jpg）

第二步：构造恶意请求

1. 使用Burp拦截对上传文件的访问请求
2. 修改请求URI，在文件扩展名后添加特殊构造：
   • 原始路径：/uploads/test.jpg
   • 修改为：/uploads/test.jpg\x20\x00.php
   • 注意：\x20表示空格，\x00表示空字符

第三步：执行恶意代码

1. 放行修改后的请求
2. 观察服务器响应，正常情况下会执行.php文件内容

技术原理深度分析

Nginx解析机制缺陷

1. Nginx使用两种方式解析URI：
   • 基于字符串的解析
   • 基于字符的解析
2. 当遇到\x20\x00序列时：
   • 字符串解析认为URI已结束
   • 字符解析继续处理后续内容
3. 导致安全检查（如扩展名验证）与最终执行路径不一致

实际攻击场景

攻击者可以利用此漏洞：

1. 上传看似无害的文件（如图片）
2. 通过构造特殊请求使服务器以PHP方式执行该文件
3. 实现远程代码执行

常见问题与解决方案

复现过程中的"坑"

1. 第一个坑（抓图片请求）

   • 必须拦截对上传文件的访问请求，而非上传请求
   • 确保请求是GET而非POST方法

2. 第二个坑（JNDI注入问题）
   文中提到的${jndi:dns://...}字符串是Log4j漏洞的利用方式，与本漏洞无关，可能是作者测试环境中的干扰因素

3. 第三个坑（Burp版本问题）

   • 新版本Burp可能对特殊字符处理更严格
   • 解决方案：
     • 使用Burp 1.7.31或类似旧版本
     • 手动构造HTTP请求（使用nc或curl）

防御措施

1. 升级Nginx
   升级到以下版本之一：

   • 1.4.4
   • 1.5.7或更高

2. 配置防护
   在Nginx配置中添加以下规则：

   if ($request_uri ~* "\.php") {
       return 403;
   }
   

3. 文件上传防护

   • 严格验证上传文件内容而不仅是扩展名
   • 存储上传文件时重命名
   • 设置正确的文件权限

4. WAF规则
   添加检测\x20\x00序列的规则

漏洞利用的扩展思考

1. 该漏洞不仅限于PHP执行，理论上可影响任何依赖文件扩展名的处理逻辑
2. 结合其他漏洞（如文件上传）可形成完整攻击链
3. 在特定配置下，可能绕过认证直接访问受限资源

总结

CVE-2013-4547展示了Web服务器解析逻辑中的细微差别如何导致严重安全漏洞。通过深入理解URI解析机制，安全人员可以更好地防御此类漏洞，同时也提醒开发人员在实现安全校验时要考虑所有可能的输入情况。