nginx设置cgi.fix_pathinfo漏洞和解决方法

lbdbzj110

　　最近在学习nginx的配置，有一个设置需要在php.ini中把 cgi.fix_pathinfo = 1 改成cgi.fix_pathinfo=0, 想了解下这个参数设置的具体功能，所以百度了下，发现这里有一个PHP PATH_INFO的漏洞
　　（详见:https://bugs.php.net/bug.php?id=50852&edit=1）大致先了解下。
　　【漏洞分析】location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
　　【漏洞场景】在http://xiumu.blog.51cto.com/上传一张正常图片helloworld.jpg，可以访问，如果我们制作一个PHP webshell命名为hacker.php，复制命名为hacker.jpg，如果正常上传的话，那么下一步就是要考虑如何把hacker.jpg当做hacker.php来执行。安全的情况下若执行http://xiumu.blog.51cto.com/hacker.jpg/abc.php，那么URL会被分离成
　　目录"www\hacker.jpg\" 和文件"abc.php",
　　但如果存在PHP PATH_INFO漏洞的话将得到"hacker.jpg/abc.php"，经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为"/scripts/hacker.jpg/abc.php",后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为
　　/scripts/hacker.jpg和abc.php
　　最后，以/scripts/hacker.jpg作为此次请求需要执行的脚本，***者就可以实现让nginx以php来解析任何类型的文件了。
　　不过后来发现其导致PHP的超全局变量 $_SERVER['PHP_SELF']为空于是有些程序会出错（比如Discuz会拼接出错误图片头像路径）。
　　【解决方法】
　　方法一：修改php.ini，设置cgi.fix_pathinfo = 0;然后重启php-cgi。此修改会影响到使用PATH_INFO伪静态的应用，例如：http://xiumu.blog.51cto.com/520.html 就不能访问了。
　　方法二：在nginx的配置文件添加如下内容后重启：if ( $fastcgi_script_name ~ \..*\/.*php ) {return 403;}。该匹配会影响类似 http://xiumu.blog.51cto.com/5.0/helloworld.php的访问。
　　方法三：
　　----------代码源自网络----------

　　if ($request_filename ~* (.*)\.php) {
　　set $php_url $1;
　　}
　　if (!-e $php_url.php) {
　　return 403;
　　}
　　fastcgi_param  GATEWAY_INTERFACE  CGI/1.1;
　　fastcgi_param  SERVER_SOFTWARE    nginx;
　　fastcgi_param  QUERY_STRING       $query_string;
　　fastcgi_param  REQUEST_METHOD     $request_method;
　　fastcgi_param  CONTENT_TYPE       $content_type;
　　fastcgi_param  CONTENT_LENGTH     $content_length;
　　fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;
　　fastcgi_param  SCRIPT_NAME        $uri;
　　fastcgi_param  REQUEST_URI        $request_uri;
　　fastcgi_param  DOCUMENT_URI       $document_uri;
　　fastcgi_param  DOCUMENT_ROOT      $document_root;
　　fastcgi_param  SERVER_PROTOCOL    $server_protocol;
　　fastcgi_param  REMOTE_ADDR        $remote_addr;
　　fastcgi_param  REMOTE_PORT        $remote_port;
　　fastcgi_param  SERVER_ADDR        $server_addr;
　　fastcgi_param  SERVER_PORT        $server_port;
　　fastcgi_param  SERVER_NAME        $server_name;
　　# PHP only, required if PHP was built with --enable-force-cgi-redirect
　　fastcgi_param  REDIRECT_STATUS    200;

　　----------结束----------
　　新建一个名为:fastcgi.conf,将以上内容保存进去，同时在localtion里面做如下设置：
　　----------代码源自网络----------

　　location ~* .*\.php($|/)
　　{
　　if ($request_filename ~* (.*)\.php) {
　　set $php_url $1;   #请根据实际情况设置
　　}
　　if (!-e $php_url.php) {
　　return 403;
　　}
　　fastcgi_pass  127.0.0.1:9000;
　　fastcgi_index index.php;
　　include fcgi.conf;
　　}

　　----------结束----------
　　参考网站：
　　《nginx文件类型错误解析漏洞》http://www.80sec.com/nginx-securit.html#more-163
　　《再提供一种解决Nginx文件类型错误解析漏洞的方法》http://zyan.cc/nginx_0day/