SimpleCMS-nginx 缓存配置的安全问题

高校运维赛的一道SimpleCMS的题,考察的是Nginx的缓存配置的安全问题, 之前做题也遇见过,但没仔细分析,现在补充一波

题目有一处文件包含和一处文件读取的地方:

文件包含: ?page=../../../../../../../../etc/passwd

文件读取: /static.php?f[]=/etc/passwd

通过文件包含读取到了nginx的配置文件如下:

​ ​ ​ ​ # ​ ​ cache
​ ​ ​ ​ fastcgi_cache_path​​ ​ ​ /tmp​ ​ levels=​ 1 ​ : ​ 2 ​ ​ keys_zone=STATIC:​ 10m
inactive=​ 24h​​ ​ ​ max_size=​ 50m​ ;
​ ​ ​ ​ fastcgi_cache_key​​ ​ $host$uri​ ;
​ ​ ​ ​ fastcgi_cache_methods​​ ​ GET​ ​ HEAD;
​ ​ ​ ​ server​​ ​ {
​ ​ ​ ​ ​ ​ ​ ​ listen​​ ​ ​ ​ ​ ​ ​ ​ 80​ ;
​ ​ ​ ​ ​ ​ ​ ​ server_name​​ ​ localhost;
​ ​ ​ ​ ​ ​ ​ ​ root​​ ​ ​ /app/www/;
​ ​ ​ ​ ​ ​ ​ ​ index​​ ​ index.php;
 
    ​ ​ location​​ ​ ~ ​ ​ ^(.+.php)(.*)$​​ ​ {
    ​ ​ ​ ​ ​ ​ set​​ ​ $no_cache​​ ​ 1 ​ ;
    ​ ​ ​ ​ ​ ​ if​​ ​ ( ​ $uri​​ ​ ~ ​ ​ .(css|js)$)​​ ​ {
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ set​​ ​ $no_cache​​ ​ 0 ​ ;​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ }
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_cache_bypass​​ ​ $no_cache​ ;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_no_cache​​ ​ $no_cache​ ;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_cache​​ ​ ​STATIC;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_cache_valid​​ ​ ​ ​ ​ ​ ​ 200​​ ​ ​ 1d​ ;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ add_header​​ ​ X-Proxy-Cache​ ​ $upstream_cache_status​ ;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_split_path_info​​ ​ ​ ​ ^(.+.php)(.*)$​ ;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_pass​​ ​ ​ ​ unix:/run/php-fpm.sock;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_index​​ ​ ​ index.php;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_param​​ ​ ​ SCRIPT_FILENAME
    $document_root$fastcgi_script_name​ ;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_param​​ ​ PATH_INFO​ ​ ​ ​ ​ ​ ​ ​ $fastcgi_path_info​ ;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ include​​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_params;
    ​ ​ ​ ​ ​ ​ ​ ​ }
    ​ ​ ​ ​ }
}
 
 
 

对这些配置选项的作用一一分析下:

fastcgi_cache_path:

作用域:http

levels
:指定了该缓存空间有两层hash目录,设置缓存目录层数,levels=1:2,表示创建两层目录缓存,最多创建三层。第一层目录名取fastcgi_cache_key md5的最后一个字符,第二层目录名取倒数2-3字符,如:fastcgi_cache_key md5为b7f54b2df7773722d382f4809d65029c,则:

levels=1:2为/tmp/c/29/b7f54b2df7773722d382f4809d65029c
levels=1:2:3为/tmp/c/29/650/b7f54b2df7773722d382f4809d65029c
 

keys_zone=STATIC:10M
:为这个缓存区起名为STATIC,10m指代缓存空间为10MB;

inactive=1d
代表如果缓存文件一天内没有被访问,则删除;

max_size=50m
:代表硬盘缓存最大为50m

fastcgi_cache_key

设置缓存的key值, nginx更具key值的md5来值来为规范缓存的路径和命名

fastcgi_cache_method

缓存支持的方法, 这里支持GET和HEAD 方法

默认缓存HTTP GET/HEAD方法

fastcgi_cache_bypass

设置过滤的缓存黑名单

fastcgi_cache

缓存名,和前面 keys_zone
设置的名称保持一致即可

fastcgi_cache_valid

该指令用于对不同返回状态码的URL设置不同的缓存时间, 200 1d 表示返回码 200,缓存时间为1天

注意:如果不指定状态码,直接指定缓存时间,则只有200,301,302状态码会进行缓存。

add_header​​ ​ X-Proxy-Cache​ ​ $upstream_cache_status​ ;

x-cache头,用于调试

$upstream_cache_status 变量表示此请求响应来自cache的状态,几种状态分别为

  • MISS表示未命中
    即这个页面还没被缓存,新发布或刚被删除的页面,首次访问将出现这个状态(图略)。
  • HIT表示缓存命中
    打开一个会缓存的页面,比如文章内容html页面,F5刷新几次即可在F12开发者模式当中的Header头部信息中看到如图缓存命中状态:
  • BYPASS表示缓存黑名单
    即页面路径在Nginx规则中被设置成不缓存(set $skip_cache 1;)

了解完了这些配置选项后我们要怎么做呢? 题目只能对css,js文件进行缓存,无法对php文件缓存

从配置文件知道这里设置了phpinfo模式,导致 static.php/1.js
这种路径的文件可以被正确解析出 static.php
文件路径,因此我们这里可以构造出一个污染的地址出来让nginx去缓存下来, static.php
文件在读取不存在的文件时会输出到页面中来,因此我们构造出一个shell让nginx缓存然后在利用文件包含getshell即可

因为原题已经无法复现了,这里我写了个小的demo程序来本地复现一下

 
 

我们首先提交 ff.php/1.js?f=
这样的url, 之后在缓存目录可以看到生成了缓存文件: /var/www/4/0b/cc5226f4e463de0be12259f5af1f10b4

之后就是利用文件包含getshell

ff.php?page=/var/www/4/0b/cc5226f4e463de0be12259f5af1f10b4
 
稿源:江sir's blog (源链) | 关于 | 阅读提示

本站遵循[CC BY-NC-SA 4.0]。如您有版权、意见投诉等问题,请通过eMail联系我们处理。
酷辣虫 » 后端存储 » SimpleCMS-nginx 缓存配置的安全问题

喜欢 (0)or分享给?

专业 x 专注 x 聚合 x 分享 CC BY-NC-SA 4.0

使用声明 | 英豪名录