Nginx 文件名逻辑漏洞（CVE-2013-4547）漏洞复现

影响版本：Nginx 0.8.41 到 1.4.3 / 1.5.0 到 1.5.7。

利用条件：php-fpm.conf中的security.limit_extensions为空。

首先来看nginx解析php文件的配置信息：

location ~ .php$ {
    include        fastcgi_params;

    fastcgi_pass   127.0.0.1:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;
    fastcgi_param  DOCUMENT_ROOT /var/www/html;
}

该配置文件大概意思就是匹配以.php结尾的文件，然后把这个文件当成php来执行。众所周知正则匹配遇到是不会停止匹配的，但是nginx遇到就会停止。

现在有一个文件名为a.jpg.php，该文件可以通过上面的正则匹配，并且交给php来解析，而且nginx将该文件交给php解析时遇到会停止读取文件名，所以真正去解析的文件名为a.jpg。按这个逻辑我们只要上传一个名为a.jpg的木马到服务器，然后访问a.jpg.php即可成功执行木马。但是实践中失败了，原因是nginx读取文件名中包含就会抛出一个错误并停止执行。

首先将一句话木马写入a.jpg中。

<?php system($_GET['a']);?>

然后上传该文件，同时使用burpsuite截断数据。

在文件名末尾加上空格，如下图所示。然后点击Forward提交。

linux系统需要这一步，而windows系统可以省略。因为在windows中文件名不可以包含空格，而linux的文件名中可以包含空格。在访问a.jpg[20][00].jpg时，在windows系统中会识别为 a.jpg，在linux系统中会识别为 a.jpg[20]。

然后可以在浏览器中看到上传文件的地址。

然后访问 http://192.168.119.131:8080/uploadfiles/a.jpg.php，同时用burpsuite抓取数据。

然后进入16进制编辑视图，在 .jpg与 .php中间添加 20和00，这是空格和 /0的十六进制。

然后右击鼠标，点击 Send to Repeater发送到重放模块，然后点击导航栏上的Repeater，在这里可以多次发送数据包。

在文件名的后面添加上参数即可执行任意命令，如下图所示。