Nginx 文件名逻辑漏洞（CVE-2013-4547）

AffettoIris 2023-9-24 8,594,219 9/24

题解

vlhub给了我们这样的网页

测试发现只不能提交.php文件，我们将一句话木马<?php phpinfo(); ?>写进1.txt，重命名为1.jpg，然后上传，这个过程burp抓包，将filename从"1.jpg"改为"1.jpg "并forward，上传成功~服务器存着一个叫"1.jpg "的非图片文件.

Nginx 文件名逻辑漏洞（CVE-2013-4547）

在浏览器输入62.234.14.252:8080/uploadfiles/1.jpgaa.php并抓包，

Nginx 文件名逻辑漏洞（CVE-2013-4547）

然后Forward，漏洞利用成功：

Nginx 文件名逻辑漏洞（CVE-2013-4547）

我的服务器是nginx1.20，比较新，上述漏洞未能成功显示phpinfo();显示如下：

Nginx 文件名逻辑漏洞（CVE-2013-4547）

踩坑点及深入挖掘原理

成功上传1.jpg[0x20]后，访问http://62.234.14.252:8080/uploadfiles/1.jpg显示如下

因为服务器上存的是1.jpg[0x20]，而浏览器输入62.234.14.252:8080/uploadfiles/1.jpg[0x20]实际访问的还是62.234.14.252:8080/uploadfiles/1.jpg （对，浏览器会过滤忽略掉url开头结尾的空格），所以404了。
假设我们上传的就是1.jpg，文件名不带空格，然后我们访问62.234.14.252:8080/uploadfiles/1.jpg，这个访问过程无法被FoxyProxy和burp抓包，可能是因为纯图片不是报文不在其业务范围的缘故。

解决如何即访问1.jpg[0x20]又能让burp抓到包？：

访问http://62.234.14.252:8080/uploadfiles/1.jpgaa.php,违背了纯图片就能被抓包了。然后用burp在底层将aa修改为[0x20][0x00]就能访问1.jpg[0x20]了
官方教程教收尾阶段访问http://your-ip:8080/uploadfiles/1.jpg[0x20][0x00].php，我傻乎乎的尝试在浏览器输入带[]的、不带[]的、[0x20]改写而成空格的、[0x00]改写不成空，都显示404了。后来才知道要去burp去修改报文的十六进制底层，即访问http://62.234.14.252:8080/uploadfiles/1.jpgaa.php，其中aa是可以留的占位符，a在底层对应ascii的十六进制61，将[61][61]改成[20][00]，其中20是空格，00是空的ascii。
这里应该是用到了0x00截断原理了，具体原理是系统在对文件名的读取时，如果遇到0x00，就会认为读取已结束。这个常用在对文件类型名的绕过上。还不止这个原理。
当Nginx得到一个用户请求时，首先对url进行解析，进行正则匹配，如果匹配到以.php后缀结尾的文件名（即http://62.234.14.252:8080/uploadfiles/1.jpg \0.php），会将请求的PHP文件交给PHP-CGI去解析。~~其中处理模块如下：~~
```
location ~ \.php$ {
    root           html;
    include        fastcgi_params;

    fastcgi_pass   IP:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  /var/www/html$fastcgi_script_name;
    fastcgi_param  DOCUMENT_ROOT /var/www/html;
}
```
~~以.php结尾的文件都会交给该模块处理，其中fastcgi_pass就是Nginx与PHP-FPM之间的媒介，通过ip+port的方式将请求转发给PHP解释器。~~

但是我们有代码的文件它叫’1.jpg ‘啊,不叫'1.php'不叫'1.jpg php'不叫'1.jpgphp'，所以我们利用0x00的阶段原理，用0x00将'1.jpg '和.php分隔开。http://62.234.14.252:8080/uploadfiles/1.jpg \0.php通过.php进入这个Location块；但进入后，Nginx却因0x00隔断而错误地认为请求的文件是1.gif[0x20]，就将'1.gif '交付PHP-CGI去解析（就设置其为SCRIPT_FILENAME的值发送给fastcgi）。

- THE END -

AffettoIris

10月16日15:24

最后修改：2023年10月16日

非特殊说明，本博所有文章均为博主原创。

如若转载，请注明出处：https://www.ink0.cn/index.php/2023/09/24/nginx-%e6%96%87%e4%bb%b6%e5%90%8d%e9%80%bb%e8%be%91%e6%bc%8f%e6%b4%9e%ef%bc%88cve-2013-4547%ef%bc%89/

screen

中国菜刀

共有 135,530 条评论

回复给 batcave-108 点击这里取消回复。

emoji表情

😀 😃 😄 😁 😆 😅 😂 🤣 ☺️ 😇 🙂 🙃 😉 😌 😍 😘 😗 😙 😚 😋 😜 😝 😛 🤑 🤓 😎 🤡 🤠 😏 😒 🤗 😞 😔 😟 😕 🙁 ☹️ 😣 😖 😫 😩 😤 😠 😡 😶 😐 😑 😯 😦 😧 😮 😲 😵 😳 😱 😨 😰 😢 😥 🤤 😭 😓 😪 😴 🙄 🤔 🤥 😬 🤐 🤢 🤧 😷 🤒 🤕 😣 😖 😫 😩 😤 😠 😡 😶 😐 😑 😯 😦 😧 😮 😲 😵 😳 😱 😨 😰 😢 😥 🤤 😭 😓 😪 😴 🙄 🤔 🤥 😬 🤐 🤢 🤧 😷 🤒 🤕 😈 👿 👹 👺 💩 👻 💀 ☠️ 👽 👾 🤖 🎃 😺 😸 😹 😻 😼 😽 🙀 😿 😾 👐🏻 🙌🏻 👏🏻 🙏🏻 🤝 👍 👎🏻 👊🏻 ✊🏻 🤛🏻 🤜🏻 🤞🏻 ✌🏻 🤘🏻 👌 👈🏻 👉🏻 👆🏻 👇🏻 ☝🏻 ✋🏻 🤚🏻 🖐🏻 🖖🏻 👋🏻 🤙🏻 💪🏻 🖕🏻 ✍🏻 🤳🏻 💅🏻 💍 💄 💋 👄 👅 👂🏻 👃🏻 👣 👀 👤 👥 👶🏻 👦🏻 👧🏻 👨🏻 👩🏻 👱🏻‍♀️ 👱🏻 👴🏻 👵🏻 👲🏻 👳🏻‍♀️ 👳🏻 👮🏻‍♀️ 👮🏻 👷🏻‍♀️ 👷🏻 💂🏻‍♀️ 💂🏻 🕵🏻‍♀️ 🕵🏻 👩🏻‍⚕️ 👨🏻‍⚕️ 👩🏻‍🌾 👩🏻‍🍳 👨🏻‍🍳 👩🏻‍🎓

Miguelatore
Комплексный подход, включающий эти методы, значительно повышает шансы на успешное и долговременное восстановление. Современные реабилитационные центры в Москве предлагают целый ряд программ, которые способствуют полному возвращению пациента к здоровой и активной жизни.
Подробнее тут – <a href=https://reabilitacziya-alkogolikov-moskva-3.ru/>клиника реабилитации алкоголиков в москве</a>

2026-05-04 08:32 Chrome 130.0.0.0 Windows 10/11 回复
RaymonddiumS
Реабилитация алкоголиков с анонимной поддержкой — это важный процесс, который помогает людям справиться с зависимостью в условиях конфиденциальности и безопасности. Многие пациенты опасаются обращаться за помощью из-за стереотипов и страха осуждения. Анонимность в реабилитации становится важным фактором для обеспечения доверия и максимальной эффективности лечения, при этом в ряде случаев доступны такие услуги, как кодирование и консультации наркологической помощи бесплатно, особенно при обращении после запоя. В Москве существует множество центров, которые предлагают реабилитацию алкоголиков с анонимной поддержкой, что позволяет пациентам пройти лечение, не раскрывая своей личности и не беспокоясь о социальном осуждении.
Узнать больше – <a href=https://reabilitacziya-alkogolikov-moskva-4.ru/>клиника реабилитации алкоголиков</a>

2026-05-04 08:15 Chrome 129.0.0.0 Windows 10/11 回复
TomasJIC
Решение о помещении пациента в стационар принимается на основе объективных медицинских критериев, а не только по желанию родственников. К показаниям относятся: запой длительностью более 72 часов, выраженная абстиненция с тахикардией, артериальной гипертензией, профузным потоотделением, наличие в анамнезе алкогольных делириев или судорожных эпизодов, сопутствующие хронические заболевания печени, сердца, поджелудочной железы. При отравление продуктами распада этанола, когда интоксикация затрагивает несколько систем одновременно, резкое прекращение употребления без медицинской поддержки может спровоцировать отек мозга, острую сердечную недостаточность или желудочно-кишечное кровотечение. При сочетанных расстройствах, когда в анамнезе присутствует наркомании, протоколы адаптируются под специфику психоактивных соединений и включают усиленный нейрологический контроль. Стационар позволяет провести полноценную диагностику, включая ЭКГ, экспресс-анализы крови и мониторинг сатурации, что формирует точную картину состояния и исключает шаблонные назначения.
Получить больше информации – https://vyvod-iz-zapoya-v-staczionare-sankt-peterburg-20.ru

2026-05-04 08:07 Chrome 131.0.0.0 Windows 10/11 回复
Kapelnica ot pohmelya_qkOi
прокапать от алкоголя самара <a href=https://kapelnicza-ot-pokhmelya-samara-24.ru>прокапать от алкоголя самара</a>

2026-05-04 08:06 Chrome 131.0.0.0 Windows 10/11 回复
Kapelnica ot pohmelya_loKn
капельница от запоя недорого <a href=https://kapelnicza-ot-pokhmelya-samara-23.ru>капельница от запоя недорого</a>

2026-05-04 07:59 Chrome 130.0.0.0 Windows 10/11 回复
Kapelnica ot pohmelya_rbKn
сколько стоит капельница от похмелья <a href=https://kapelnicza-ot-pokhmelya-samara-23.ru>https://kapelnicza-ot-pokhmelya-samara-23.ru</a>

2026-05-04 07:37 Chrome 131.0.0.0 Windows 10/11 回复
rutor org официальный сайт зеркало
<a href=https://rutor24x7.forum>куда переехал рутор</a>.

Rutor: Ветеран русскоязычного даркнета, переживший крах "Гидры"

Rutor — ветеран русскоязычного даркнета, активно действующий с начала 2010-х. Форум пережил период доминирования "Гидры" и продолжает функционировать после ее исчезновения в 2022 году. Несмотря на смену владельцев в начале 2022, Rutor сохранил доверие пользователей как платформа для теневой торговли и общения.

?? Центральное место на Rutor занимает торговый раздел, где пользователи могут найти предложения от проверенных поставщиков, специализирующихся на:
* Различных психоактивных субстанциях.
* Цифровых товарах и программном обеспечении.
* Услугах, направленных на обеспечение конфиденциальности, финансовые операции и OSINT.

?? Для безопасности транзакций действует система гаранта. Встроенный мессенджер с анонимными записками, не связанными с профилем, обеспечивает дополнительную конфиденциальность, снижая риски взлома данных.

??? Доступ к Rutor предоставляется исключительно через защищенную сеть Tor по onion-ссылке. Процесс регистрации зачастую требует инвайта или дополнительной верификации, что служит барьером для автоматизированных систем и представителей правоохранительных органов. Модерация ориентирована на соблюдение деловых стандартов и поддержание репутации площадки, а не на жесткую цензуру.

?? После реорганизации Rutor стал более закрытым, но сохранил свою базу пользователей и стабильность. Он остается важной вехой в истории русского даркнета.

2026-05-04 07:33 Chrome 129.0.0.0 Windows 10/11 回复
Rufuszem
Первый этап вывода из запоя на дому – это первичная оценка состояния пациента. Врач, прибывший на вызов, осматривает пациента, проверяет уровень алкоголя в крови, измеряет артериальное давление, пульс и температуру. Это необходимо для того, чтобы определить степень алкогольной интоксикации и выбрать правильную тактику лечения.
Подробнее тут – <a href=https://vyvod-iz-zapoya-na-domu-ekaterinburg-17.ru/>вывод из запоя на дому цена</a>

2026-05-04 07:31 Chrome 129.0.0.0 Windows 10/11 回复
RichardGairl
Нарколог на дом в Москве: срочный выезд врача, капельницы и помощь при запое в наркологической клинике «Клиника доктора Калюжной».
Подробнее тут – <a href=https://narkolog-na-dom-moskva-17.ru/>нарколог на дом цена</a>

2026-05-04 07:24 Chrome 130.0.0.0 Windows 10/11 回复
рутор наши фильмы
<a href=https://rutor24x7.forum>rutor зеркало new rutor ru</a>.

Rutor: Независимая площадка русскоязычного даркнета, устоявшая после "Гидры"

Rutor — форум с богатой историей в русскоязычном даркнете, ведущий свою активную деятельность с начала 2010-х. Он стал свидетелем эпохи "Гидры" и продолжил свою работу даже после ее упразднения в 2022 году. Смена владельцев в начале 2022 года не подорвала доверия к площадке, которая продолжает оставаться авторитетным местом для теневой торговли и обмена информацией.

?? Центральное место на Rutor занимает торговый раздел, где пользователи могут найти предложения от проверенных поставщиков, специализирующихся на:
* Различных психоактивных субстанциях.
* Цифровых товарах и программном обеспечении.
* Услугах, направленных на обеспечение конфиденциальности, финансовые операции и OSINT.

?? Для обеспечения безопасности осуществляемых сделок на Rutor действует механизм гаранта. Кроме того, для максимально конфиденциального общения предусмотрен встроенный мессенджер с функцией анонимных записок, которые не требуют привязки к учетной записи. Это снижает вероятность компрометации данных пользователей, даже если их аккаунт будет подвергнут риску.

??? Доступ к Rutor предоставляется исключительно через защищенную сеть Tor по onion-ссылке. Процесс регистрации зачастую требует инвайта или дополнительной верификации, что служит барьером для автоматизированных систем и представителей правоохранительных органов. Модерация ориентирована на соблюдение деловых стандартов и поддержание репутации площадки, а не на жесткую цензуру.

?? После реорганизации Rutor стал более закрытым, но сохранил свою базу пользователей и стабильность. Он остается важной вехой в истории русского даркнета.

2026-05-04 07:14 Chrome 131.0.0.0 Windows 10/11 回复