当前位置：首页 > news >正文

Nginx 文件名逻辑漏洞（CVE-2013-4547）

news 2026/1/15 11:46:14

漏洞原理

影响版本

漏洞复现

漏洞原理

CGI：是一种协议，定义了web服务器传递的数据格式。

FastCGI：优化版的CGI程序

PHP-CGI：PHP解释器，能够对PHP文件进行解析并返回相应的解析结果

PHP-FPM：FastCGI进程管理程序

当Nginx得到一个用户请求时，首先对url进行解析，进行正则匹配，如果匹配到以.php后缀结尾的文件名，会将请求的PHP文件交给PHP-CGI去解析。其中处理模块如下：

location ~ \.php$ {root           html;include        fastcgi_params;fastcgi_pass   IP:9000;fastcgi_index  index.php;fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;fastcgi_param  DOCUMENT_ROOT /var/www/html;
}

以.php结尾的文件都会交给该模块处理，其中fastcgi_pass就是Nginx与PHP-FPM之间的媒介，通过ip+port的方式将请求转发给PHP解释器

CVE-2013-4547漏洞是由于非法字符空格和截止符导致Nginx在解析URL时的有限状态机混乱，导致攻击者可以通过一个非编码空格绕过后缀名限制。假设服务器中存在文件‘123.png '，则可以通过访问如下网址让服务器认为'123.png '的后缀为php

http://192.168.146.1/123.png \0.php

从代码层面来说，我们请求的url中123.png[0x20][0x00].php正好与location模块中的.php相匹配，但进入该模块后Nginx确认为请求的文件名是'123.png '，就设置其为script_name的值交给CGI进行解析，最终造成解析漏洞

想象一下，你有一个商店（Nginx服务器），这个商店里有很多商品（网页文件），其中一些是特殊的商品（PHP文件），需要特别的售货员（PHP-FPM）来处理。正常情况下，只有当顾客（用户）要求购买特殊商品时（请求.php文件），才会叫来特别的售货员。

但是，商店（Nginx）在检查顾客想要购买的商品名时，有个漏洞。如果有人（攻击者）在商品名里加了些奇怪的字符，比如一个看不见的空间（空格字符）和一个特殊的结束标记（空字符），商店就可能会搞混。

比如，攻击者想要买一件叫“123.png ”（注意，这里商品名末尾有个空格）的普通商品，但他却假装这是件特殊商品，于是在商品名后面加上了“.php”。就像这样：“123.png [空格][空字符].php”。由于商店的检查系统有漏洞，它可能会误以为这是一件特殊商品，于是就叫来了特别的售货员（PHP-FPM）来处理。

影响版本

Nginx 0.8.41 ~ 1.4.3

Nginx 1.5.0 ~ 1.5.7

漏洞复现

进入vulhub项目对应的目录：cd vulhub-master\nginx\CVE-2013-4547

编译容器：“docker-compose build”

启动Docker容器，输入命令：“docker-compose up -d”。

查看容器状态，输入命令：“docker ps”并查看对应容器ID。

进入容器，输入命令：“docker exec -it 容器id /bin/bash”。

利用攻击主机浏览器访问：http://靶机ip:8080

利用该图片上传页面，上传一个图片webshell，代码如下：

GIF98A
<?php phpinfo();?>

成功上传，（写一遍2021的burp抽风了，下面改为用1.7的老版本了）

访问上传的图片马，可以正常访问

使用0x00截断将图片马解析为PHP文件，访问该url并抓包修改192.168.2.110:8080/uploadfiles/1.png%20a.php

原始数据包如下

a作为占位符，将%20删除后，%20需要改成空格，不然hex把%20也转了，进入Hex中把表示a的61修改为00，最后发送请求

最终数据包如下：

按照上述修改后Nginx收到的请求就变为了：http://192.168.146.134/uploadfiles/phpinfo.png \0.php，使得png被解析为了PHP

Nginx 文件名逻辑漏洞（CVE-2013-4547）

漏洞原理

影响版本

漏洞复现

相关文章：

Nginx 文件名逻辑漏洞（CVE-2013-4547）

Java 21 优雅和安全地处理 null

AWS Glue基础知识

Kubernetes——part4-1 Kubernetes集群服务暴露 Nginx Ingress Controller

Flutter入门，Flutter基础知识总结。

weight decay 和L2是一个东西吗

JavaScript系列（8）-- Array高级操作

Harmony开发【笔记1】报错解决（字段名写错了。。）

MAC环境安装(卸载)软件

【Vim Masterclass 笔记05】第 4 章：Vim 的帮助系统与同步练习（L14+L15+L16）

Multisim更新：振幅调制器+解调器（含仿真程序+文档+原理图+PCB）

CentOS — 群组管理

【pytorch】注意力机制-1

html 元素中的data-v-xxxxxx 是什么？为什么有的元素有？有的没有？

第27周：文献阅读及机器学习

回归预测 | MATLAB实ELM-Adaboost多输入单输出回归预测

Swift Protocols（协议）、Extensions（扩展）、Error Handling（错误处理）、Generics（泛型）

.NET中的强名称和签名机制

使用 NestJS 构建高效且模块化的 Node.js 应用程序，从安装到第一个 API 端点：一步一步指南

2025年大模型技术发展趋势展望：高速旋转的飞轮

XML Group端口详解

Flask RESTful 示例

渲染学进阶内容——模型

工业自动化时代的精准装配革新：迁移科技3D视觉系统如何重塑机器人定位装配

IoT/HCIP实验-3/LiteOS操作系统内核实验(任务、内存、信号量、CMSIS..)

ArcGIS Pro制作水平横向图例+多级标注

GC1808高性能24位立体声音频ADC芯片解析

重启Eureka集群中的节点，对已经注册的服务有什么影响

以光量子为例，详解量子获取方式

【生成模型】视频生成论文调研