hacktricks/network-services-pentesting/pentesting-web/nginx.md

Nginx

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
• The PEASS Familyを見つけてください。これは、私たちの独占的なNFTのコレクションです。
• 公式のPEASS＆HackTricksのグッズを手に入れましょう。
• 💬 Discordグループまたはtelegramグループに参加するか、Twitterで私をフォローしてください🐦@carlospolopm。
• ハッキングのトリックを共有するには、PRを hacktricks repo と hacktricks-cloud repo に提出してください。

DragonJAR Security Conference es un evento internacional de ciberseguridadは、コロンビアのボゴタで2023年9月7日から8日まで開催される、10年以上の歴史を持つ国際的なサイバーセキュリティイベントです。このイベントは、スペイン語で最新の研究が発表される技術的な内容の高いイベントであり、世界中のハッカーや研究者を惹きつけています。 以下のリンクで今すぐ登録し、この素晴らしいカンファレンスをお見逃しなく！:

{% embed url="https://www.dragonjarcon.org/" %}

ルートの場所が見つかりません

server {
root /etc/nginx;

location /hello.txt {
try_files $uri $uri/ =404;
proxy_pass http://127.0.0.1:8080/;
}
}

rootディレクティブは、Nginxのルートフォルダを指定します。上記の例では、ルートフォルダは/etc/nginxであり、そのフォルダ内のファイルにアクセスできます。上記の設定には/ (location / {...})の場所はありませんが、/hello.txtの場所はあります。そのため、rootディレクティブはグローバルに設定され、/へのリクエストはローカルパス/etc/nginxにアクセスします。

単純なGET /nginx.confのリクエストは、/etc/nginx/nginx.confに保存されているNginxの設定ファイルの内容を明らかにします。ルートが/etcに設定されている場合、GETリクエスト/nginx/nginx.confは設定ファイルを明らかにします。一部の場合では、他の設定ファイル、アクセスログ、さらにはHTTP基本認証の暗号化された資格情報にアクセスすることができる可能性があります。

Alias LFI Misconfiguration

Nginxの設定内を見ると、「location」ステートメントがあります。もし、以下のようなものがあれば:

location /imgs {
alias /path/images/;
}

以下の理由により、LFI（Local File Inclusion）の脆弱性が存在します。

- The application allows user-supplied input to be included in file paths without proper validation or sanitization.
- The file inclusion functionality does not restrict access to sensitive files or directories.
- The application does not implement any security measures to prevent directory traversal attacks.

この脆弱性が悪用されると、攻撃者はアプリケーションのファイルシステム内の任意のファイルにアクセスできる可能性があります。これにより、機密情報の漏洩やシステムの完全な制御が可能になります。

/imgs../flag.txt

以下は、ハッキング技術に関する本の内容です。以下の内容は、/hive/hacktricks/network-services-pentesting/pentesting-web/nginx.mdというファイルからのものです。

Nginx

Nginxは、高性能で軽量なWebサーバーおよびリバースプロキシサーバーです。Nginxのペネトレーションテストには、さまざまなテクニックがあります。

バージョンの特定

Nginxのバージョンを特定するために、以下の方法を使用できます。

1. レスポンスヘッダーを確認する：Nginxのレスポンスヘッダーには、バージョン情報が含まれている場合があります。例えば、Server: nginx/1.14.0のような形式です。

2. エラーページを確認する：Nginxのエラーページには、バージョン情報が含まれている場合があります。例えば、nginx/1.14.0のような形式です。

3. ディレクトリリスティングを利用する：Nginxのディレクトリリスティング機能を有効にしている場合、ディレクトリの一覧にバージョン情報が表示されることがあります。

ディレクトリトラバーサルの検出

Nginxのディレクトリトラバーサルの脆弱性を検出するために、以下の手法を使用できます。

1. ディレクトリトラバーサル攻撃：../を使用して、ルートディレクトリ以外のディレクトリにアクセスしようとします。エラーメッセージやディレクトリリスティングの結果を確認して、攻撃が成功したかどうかを判断します。

2. 特殊な文字列の使用：特殊な文字列（例：%2e%2e/）を使用して、ディレクトリトラバーサル攻撃を試みます。エラーメッセージやディレクトリリスティングの結果を確認して、攻撃が成功したかどうかを判断します。

ファイルの読み取り

Nginxサーバー上のファイルを読み取るために、以下の手法を使用できます。

1. ディレクトリトラバーサル攻撃：../を使用して、目的のファイルにアクセスしようとします。エラーメッセージやファイルの内容を確認して、攻撃が成功したかどうかを判断します。

2. 特殊な文字列の使用：特殊な文字列（例：%2e%2e/）を使用して、ファイルにアクセスしようとします。エラーメッセージやファイルの内容を確認して、攻撃が成功したかどうかを判断します。

以上が、Nginxのペネトレーションテストに関する基本的な情報です。

/path/images/../flag.txt

正しい設定は次のとおりです：

location /imgs/ {
alias /path/images/;
}

したがって、Nginxサーバーを見つけた場合は、この脆弱性をチェックする必要があります。また、ファイル/ディレクトリのブルートフォースが奇妙な振る舞いをしている場合にも発見することができます。

詳細情報：https://www.acunetix.com/vulnerabilities/web/path-traversal-via-misconfigured-nginx-alias/

Accunetixテスト：

alias../ => HTTP status code 403
alias.../ => HTTP status code 404
alias../../ => HTTP status code 403
alias../../../../../../../../../../../ => HTTP status code 400
alias../ => HTTP status code 403

安全でない変数の使用

脆弱なNginxの設定の例は以下の通りです：

location / {
return 302 https://example.com$uri;
}

HTTPリクエストの改行文字は\r（キャリッジリターン）と\n（改行）です。改行文字をURLエンコードすると、以下のような文字の表現 %0d%0a が得られます。これらの文字がミス構成のあるサーバーに含まれるリクエスト（例：http://localhost/%0d%0aDetectify:%20clrf）が送信されると、$uri変数にURLデコードされた改行文字が含まれるため、サーバーは新しいヘッダー Detectify を含んだレスポンスを返します。

HTTP/1.1 302 Moved Temporarily
Server: nginx/1.19.3
Content-Type: text/html
Content-Length: 145
Connection: keep-alive
Location: https://example.com/
Detectify: clrf

CRLFインジェクションとレスポンススプリッティングのリスクについては、https://blog.detectify.com/2019/06/14/http-response-splitting-exploitations-and-mitigations/で詳しく学ぶことができます。

任意の変数

いくつかの場合において、ユーザーからのデータがNginxの変数として扱われることがあります。なぜこれが起こるのかは明確ではありませんが、これは珍しいことではなく、簡単にテストすることもできません。H1レポートで確認できるように、エラーメッセージを検索すると、SSIフィルターモジュールで見つかることがわかります。したがって、これはSSIに起因するものであることが明らかになります。

これをテストする方法の一つは、リファラーヘッダーの値を設定することです：

$ curl -H ‘Referer: bar’ http://localhost/foo$http_referer | grep ‘foobar’

この設定ミスをスキャンし、Nginx変数の値を表示できる複数のインスタンスを見つけました。脆弱なインスタンスの数は減少しており、これは修正された可能性があります。

バックエンドの生のレスポンスの読み取り

Nginxのproxy_passを使用すると、バックエンドによって生成されたエラーやHTTPヘッダーをインターセプトすることができます。これは、内部エラーメッセージやヘッダーを隠すために非常に便利です。Nginxが代わりに処理するようになります。バックエンドがカスタムエラーページを返す場合、Nginxは自動的にそれを提供します。しかし、もしNginxがそれがHTTPレスポンスであることを理解できない場合はどうなるでしょうか？

クライアントが無効なHTTPリクエストをNginxに送信すると、そのリクエストはそのままバックエンドに転送され、バックエンドは生のコンテンツで応答します。その後、Nginxは無効なHTTPレスポンスを理解せずにクライアントに転送します。次のようなuWSGIアプリケーションを想像してみてください：

def application(environ, start_response):
start_response('500 Error', [('Content-Type',
'text/html'),('Secret-Header','secret-info')])
return [b"Secret info, should not be visible!"]

そして、次のNginxのディレクティブを使用して:

http {
error_page 500 /html/error.html;
proxy_intercept_errors on;
proxy_hide_header Secret-Header;
}

proxy_intercept_errorsは、バックエンドが300より大きい応答ステータスを持つ場合、カスタムの応答を提供します。上記のuWSGIアプリケーションでは、Nginxによって500エラーがインターセプトされます。

proxy_hide_headerは、指定されたHTTPヘッダーをクライアントから非表示にするためのものです。

通常のGETリクエストを送信すると、Nginxは次のように返します：

HTTP/1.1 500 Internal Server Error
Server: nginx/1.10.3
Content-Type: text/html
Content-Length: 34
Connection: close

しかし、無効なHTTPリクエストを送信する場合、次のようなものがあります。

GET /? XTTP/1.1
Host: 127.0.0.1
Connection: close

次の応答を受け取ります：

XTTP/1.1 500 Error
Content-Type: text/html
Secret-Header: secret-info

Secret info, should not be visible!

merge_slashesをoffに設定する

merge_slashesディレクティブはデフォルトで「on」に設定されており、2つ以上のスラッシュを1つに圧縮する仕組みです。したがって、///は/になります。Nginxがリバースプロキシとして使用され、プロキシされているアプリケーションがローカルファイルインクルージョンの脆弱性を持っている場合、リクエストに余分なスラッシュを使用することで攻撃の余地が生じる可能性があります。これについては、Danny RobinsonとRotem Barによって詳しく説明されています。

私たちは、merge_slashesが「off」に設定されているNginxの設定ファイルが33個見つかりました。

mapディレクティブにデフォルトが指定されていません

これは、mapが何らかの認証制御に使用されている一般的なケースのようです。簡単な例は次のようになります：

http {
...
map $uri $mappocallow {
/map-poc/private 0;
/map-poc/secret 0;
/map-poc/public 1;
}
...
}

server {
...
location /map-poc {
if ($mappocallow = 0) {return 403;}
return 200 "Hello. It is private area: $mappocallow";
}
...
}

マニュアルによると:

デフォルト値
ソース値が指定されたバリアントのいずれとも一致しない場合に設定される結果の値です。デフォルトが指定されていない場合、デフォルトの結果の値は空の文字列になります。

default値を忘れることは簡単です。したがって、悪意のある者は単純に/map-poc内の存在しないケースにアクセスすることでこの「認証制御」をバイパスすることができます。例えば、https://targethost.com/map-poc/another-private-areaのようなものです。

NginxのDNSスプーフィング

この記事によると：http://blog.zorinaq.com/nginx-resolver-vulns/、もしもNginxが使用しているDNSサーバーを知っている（そして通信を傍受することができるので、これは127.0.0.1が使用されている場合には有効ではありません）場合、そしてNginxが問い合わせているドメインを知っている場合、Nginxに対してDNSレコードをスプーフィングすることが可能です。

Nginxは次のように使用するDNSサーバーを指定できます：

resolver     8.8.8.8;

proxy_passおよびinternalディレクティブ

**proxy_pass**ディレクティブは、内部または外部の他のサーバーに対するリクエストを内部的にリダイレクトするために使用できます。
**internal**ディレクティブは、Nginxに対して、そのロケーションには内部からのアクセスのみが可能であることを明示するために使用されます。

これらのディレクティブの使用は、脆弱性ではありませんが、それらがどのように設定されているかを確認する必要があります。

proxy_set_header Upgrade & Connection

nginxサーバーがUpgradeおよびConnectionヘッダーを渡すように設定されている場合、h2cスマグリング攻撃を実行して、保護された/内部のエンドポイントにアクセスすることができます。

{% hint style="danger" %} この脆弱性により、攻撃者はproxy_passエンドポイント（この場合はhttp://backend:9999）との直接接続を確立することができますが、その内容はnginxによってチェックされません。 {% endhint %}

以下は、ここから/flagを盗むための脆弱な設定の例です。

server {
listen       443 ssl;
server_name  localhost;

ssl_certificate       /usr/local/nginx/conf/cert.pem;
ssl_certificate_key   /usr/local/nginx/conf/privkey.pem;

location / {
proxy_pass http://backend:9999;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
}

location /flag {
deny all;
}

{% hint style="warning" %} proxy_passがhttp://backend:9999/socket.ioのような特定のパスを指していた場合でも、接続はhttp://backend:9999と確立されるため、その内部エンドポイント内の他のパスにアクセスすることができます。したがって、proxy_passのURLにパスが指定されていても問題ありません。 {% endhint %}

自分で試してみる

Detectifyは、この記事で説明されているいくつかの設定ミスを持つ脆弱なNginxテストサーバーをDockerを使用してセットアップできるGitHubリポジトリを作成しました。見つけてみてください！

https://github.com/detectify/vulnerable-nginx

静的解析ツール

GIXY

GixyはNginxの設定を分析するツールです。Gixyの主な目標は、セキュリティの設定ミスを防止し、欠陥の検出を自動化することです。

Nginxpwner

Nginxpwnerは、一般的なNginxの設定ミスと脆弱性を探すためのシンプルなツールです。

参考文献

• https://blog.detectify.com/2020/11/10/common-nginx-misconfigurations/
• http://blog.zorinaq.com/nginx-resolver-vulns/
• https://github.com/yandex/gixy/issues/115

DragonJAR Security Conference es un evento internacional de ciberseguridad con más de una década que se celebrará el 7 y 8 de septiembre de 2023 en Bogotá, Colombia. Es un evento de gran contenido técnico donde se presentan las últimas investigaciones en español que atrae a hackers e investigadores de todo el mundo.
¡Regístrate ahora en el siguiente enlace y no te pierdas esta gran conferencia!:

{% embed url="https://www.dragonjarcon.org/" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Do you work in a cybersecurity company? Do you want to see your company advertised in HackTricks? or do you want to have access to the latest version of the PEASS or download HackTricks in PDF? Check the SUBSCRIPTION PLANS!
• Discover The PEASS Family, our collection of exclusive NFTs
• Get the official PEASS & HackTricks swag
• Join the 💬 Discord group or the telegram group or follow me on Twitter 🐦@carlospolopm.
• Share your hacking tricks by submitting PRs to the hacktricks repo and hacktricks-cloud repo.