nginx目錄遍歷漏洞復現
一、漏洞描述
Nginx的目錄遍歷與apache一樣,屬於配置方面的問題,錯誤的配置可導致目錄遍歷與源碼泄露。
二、漏洞原理
1、 修改nginx.conf,在如下圖位置添加autoindex on
三、漏洞環境搭建和復現
1、 在ubuntu 16.04安裝nginx
1.1安裝nginx依賴庫
1.1.1安裝gcc g++的依賴庫
ubuntu平台可以使用如下命令:
apt-get install build-essential
apt-get install libtool
1.1.2安裝pcre依賴庫
apt-get install libpcre3 libpcre3-dev
1.1.3安裝zlib依賴庫
apt-get install zlib1g-dev
1.1.4安裝ssl依賴庫
apt-get install openssl
1.2安裝nginx
#下載最新版本:
wget http://nginx.org/download/nginx-1.11.3.tar.gz
#解壓:
tar -zxvf nginx-1.11.3.tar.gz
#進入解壓目錄:
cd nginx-1.11.3
#配置:
./configure --prefix=/usr/local/nginx
#編輯nginx:
Make
#安裝nginx:
make install
#啟動nginx:
/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
1.3瀏覽器訪問,測試nginx是否搭建成功
2、修改/usr/local/nginx/conf/nginx.conf,在如下圖位置添加autoindex on
3、重啟nginx服務
./sbin/nginx -s reload
4、在nginx網站根目錄下()創建一個test文件夾然后創建幾個文件
5、此時瀏覽器訪問http://192.168.10.137/test/,發現如下圖,說明存在漏洞
6、修改/usr/local/nginx/conf/nginx.conf,在如下圖位置修改autoindex off,然后重啟nginx服務,瀏覽器再次訪問http://192.168.10.137/test/,如下圖所示,說明漏洞不存在
四、漏洞防御
1、 修改/usr/local/nginx/conf/nginx.conf,在如下圖位置修改autoindex off,或者刪除autoindex on
------------------------------------------------------------------------------------------
參考: ubuntu 16.04安裝nginx https://www.cnblogs.com/piscesLoveCc/p/5794926.html