Nginx

即时提供的漏洞评估和渗透测试设置。从任何地方运行完整的渗透测试，拥有20多种工具和功能，从侦察到报告。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块，让他们有更多时间深入挖掘、弹出shell并享受乐趣。

缺少根位置

在配置Nginx服务器时，root指令起着关键作用，定义了文件提供服务的基本目录。请考虑下面的示例：

server {
root /etc/nginx;

location /hello.txt {
try_files $uri $uri/ =404;
proxy_pass http://127.0.0.1:8080/;
}
}

在这个配置中，/etc/nginx 被指定为根目录。这种设置允许访问指定根目录内的文件，比如 /hello.txt。然而，需要注意的是只定义了一个特定位置 (/hello.txt)，并没有为根位置 (location / {...}) 进行配置。这个遗漏意味着根指令适用于全局，使得对根路径 / 的请求可以访问 /etc/nginx 下的文件。

这个配置带来了一个关键的安全考虑。一个简单的 GET 请求，比如 GET /nginx.conf，可能通过提供位于 /etc/nginx/nginx.conf 的 Nginx 配置文件来暴露敏感信息。将根目录设置为一个不太敏感的目录，比如 /etc，可以减轻这个风险，但仍可能允许意外访问其他关键文件，包括其他配置文件、访问日志，甚至用于 HTTP 基本认证的加密凭据。

别名 LFI 配置错误

在 Nginx 的配置文件中，需要仔细检查 "location" 指令。一个称为本地文件包含 (LFI) 的漏洞可能会通过类似以下配置而被无意中引入：

location /imgs {
alias /path/images/;
}

这种配置容易受到LFI攻击的影响，因为服务器会将诸如/imgs../flag.txt这样的请求解释为试图访问目标目录之外的文件，最终解析为/path/images/../flag.txt。这个漏洞允许攻击者从服务器的文件系统中检索文件，这些文件本不应通过网络访问。

为了减轻这种漏洞，应调整配置为：

location /imgs/ {
alias /path/images/;
}

Accunetix 测试:

alias../ => HTTP status code 403
alias.../ => HTTP status code 404
alias../../ => HTTP status code 403
alias../../../../../../../../../../../ => HTTP status code 400
alias../ => HTTP status code 403

不安全的路径限制

查看以下页面以了解如何绕过诸如以下指令：

location = /admin {
deny all;
}

location = /admin/ {
deny all;
}

不安全的变量使用 / HTTP请求拆分

以下示例演示了Nginx配置中的一个漏洞：

location / {
return 302 https://example.com$uri;
}

字符 \r (回车) 和 \n (换行) 表示 HTTP 请求中的换行字符，它们的 URL 编码形式表示为 %0d%0a。在请求中包含这些字符 (例如，http://localhost/%0d%0aDetectify:%20clrf) 发送到配置错误的服务器会导致服务器发出一个名为 Detectify 的新标头。这是因为 $uri 变量解码 URL 编码的换行字符，导致响应中出现意外的标头：

HTTP/1.1 302 Moved Temporarily
Server: nginx/1.19.3
Content-Type: text/html
Content-Length: 145
Connection: keep-alive
Location: https://example.com/
Detectify: clrf

• https://example.com/%20X - 任何HTTP代码

• https://example.com/%20H - 400 Bad Request

如果存在漏洞，第一个请求将返回为"X"，因为"X"是任何HTTP方法，而第二个请求将返回错误，因为"H"不是有效的方法。因此，服务器将接收类似于：GET / H HTTP/1.1，从而触发错误。

其他检测示例包括：

• http://company.tld/%20HTTP/1.1%0D%0AXXXX:%20x - 任何HTTP代码

• http://company.tld/%20HTTP/1.1%0D%0AHost:%20x - 400 Bad Request

在该讲座中发现的一些易受攻击的配置包括：

• 请注意**$uri**是如何设置为最终URL中的内容。

location ^~ /lite/api/ {
proxy_pass http://lite-backend$uri$is_args$args;
}

• 请注意再次在 URL 中 $uri 出现（这次是作为参数的一部分）

location ~ ^/dna/payment {
rewrite ^/dna/([^/]+) /registered/main.pl?cmd=unifiedPayment&context=$1&native_uri=$uri break;
proxy_pass http://$back;

• 现在在 AWS S3

location /s3/ {
proxy_pass https://company-bucket.s3.amazonaws.com$uri;
}

任意变量

为了检测这种错误配置，可以执行以下命令，其中涉及设置一个referer头来测试变量打印：

$ curl -H ‘Referer: bar’ http://localhost/foo$http_referer | grep ‘foobar’

系统中对此错误配置的扫描显示，有多个实例允许用户打印Nginx变量。然而，易受攻击实例数量的减少表明修补此问题的努力在某种程度上取得了成功。

后端原始响应读取

Nginx通过proxy_pass提供了一个功能，允许拦截后端产生的错误和HTTP标头，旨在隐藏内部错误消息和标头。这是通过Nginx在响应后端错误时提供自定义错误页面来实现的。然而，当Nginx遇到无效的HTTP请求时就会出现挑战。这样的请求会像接收到的那样转发到后端，然后后端的原始响应将直接发送给客户端，而不经过Nginx的干预。

考虑涉及uWSGI应用程序的示例场景：

def application(environ, start_response):
start_response('500 Error', [('Content-Type', 'text/html'), ('Secret-Header', 'secret-info')])
return [b"Secret info, should not be visible!"]

为了管理这个，Nginx 配置中使用特定指令：

http {
error_page 500 /html/error.html;
proxy_intercept_errors on;
proxy_hide_header Secret-Header;
}

当发出有效的GET请求时，Nginx会正常处理它，返回标准错误响应而不会透露任何秘密头信息。然而，无效的HTTP请求会绕过此机制，导致原始后端响应的暴露，包括秘密头信息和错误消息。

merge_slashes设置为off

默认情况下，Nginx的**merge_slashes指令被设置为on，它会将URL中的多个斜杠压缩为单个斜杠。这个特性虽然简化了URL处理，但可能会意外地掩盖Nginx后面的应用程序中的漏洞，特别是那些容易受到本地文件包含（LFI）攻击的应用程序。安全专家Danny Robinson和Rotem Bar**已经强调了与这种默认行为相关的潜在风险，特别是当Nginx充当反向代理时。

为了减轻这种风险，建议关闭merge_slashes指令，以保护容易受到这些漏洞影响的应用程序。这样可以确保Nginx将请求转发给应用程序而不会改变URL结构，从而不掩盖任何潜在的安全问题。

恶意响应头

• X-Accel-Redirect：指示Nginx内部重定向到指定位置。

• X-Accel-Buffering：控制Nginx是否应该缓冲响应。

• X-Accel-Charset：在使用X-Accel-Redirect时设置响应的字符集。

• X-Accel-Expires：在使用X-Accel-Redirect时设置响应的过期时间。

• X-Accel-Limit-Rate：在使用X-Accel-Redirect时限制响应的传输速率。

例如，头部**X-Accel-Redirect会在Nginx中引起内部重定向**。因此，如果nginx配置中有类似**root /的内容，而来自Web服务器的响应中包含X-Accel-Redirect: .env，将导致nginx发送/.env**的内容（路径遍历）。

Map指令中的默认值

在Nginx配置中，map指令通常在授权控制中发挥作用。一个常见的错误是没有指定默认值，这可能导致未经授权的访问。例如：

http {
map $uri $mappocallow {
/map-poc/private 0;
/map-poc/secret 0;
/map-poc/public 1;
}
}

server {
location /map-poc {
if ($mappocallow = 0) {return 403;}
return 200 "Hello. It is private area: $mappocallow";
}
}

DNS欺骗漏洞

在某些条件下，对Nginx进行DNS欺骗是可行的。如果攻击者知道Nginx使用的DNS服务器并能拦截其DNS查询，则可以欺骗DNS记录。然而，如果Nginx配置为使用**localhost (127.0.0.1)**进行DNS解析，则此方法无效。Nginx允许按以下方式指定DNS服务器：

resolver 8.8.8.8;

proxy_pass和internal指令

**proxy_pass指令用于将请求重定向到其他服务器，无论是在内部还是在外部。internal**指令确保某些位置仅在Nginx内部可访问。虽然这些指令本身并非漏洞，但它们的配置需要仔细检查，以防止安全漏洞。

proxy_set_header Upgrade & Connection

server {
listen       443 ssl;
server_name  localhost;

ssl_certificate       /usr/local/nginx/conf/cert.pem;
ssl_certificate_key   /usr/local/nginx/conf/privkey.pem;

location / {
proxy_pass http://backend:9999;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
}

location /flag {
deny all;
}

请自行尝试

Detectify 创建了一个 GitHub 存储库，您可以使用 Docker 设置自己的易受攻击的 Nginx 测试服务器，并尝试找到本文中讨论的一些错误配置！

静态分析工具

Gixy 是一个用于分析 Nginx 配置的工具。Gixy 的主要目标是防止安全配置错误并自动化缺陷检测。

Nginxpwner 是一个简单的工具，用于查找常见的 Nginx 配置错误和漏洞。

参考资料

即时可用的漏洞评估和渗透测试设置。从任何地方运行完整的渗透测试，使用 20 多种工具和功能，从侦察到报告。我们不取代渗透测试人员 - 我们开发定制工具、检测和利用模块，让他们有更多时间深入挖掘、弹出 shell 并享受乐趣。