17 KiB
Nginx
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT !
- Découvrez The PEASS Family, notre collection exclusive de NFTs
- Obtenez le swag officiel PEASS & HackTricks
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.
DragonJAR Security Conference est un événement international de cybersécurité avec plus d'une décennie d'existence qui se tiendra les 7 et 8 septembre 2023 à Bogotá, en Colombie. C'est un événement de contenu technique de haut niveau où les dernières recherches en espagnol sont présentées, attirant des hackers et des chercheurs du monde entier.
Inscrivez-vous dès maintenant sur le lien suivant et ne manquez pas cette grande conférence !:
{% embed url="https://www.dragonjarcon.org/" %}
Emplacement racine manquant
server {
root /etc/nginx;
location /hello.txt {
try_files $uri $uri/ =404;
proxy_pass http://127.0.0.1:8080/;
}
}
La directive racine spécifie le dossier racine pour Nginx. Dans l'exemple ci-dessus, le dossier racine est /etc/nginx
, ce qui signifie que nous pouvons accéder aux fichiers dans ce dossier. La configuration ci-dessus n'a pas d'emplacement pour / (location / {...})
, seulement pour /hello.txt
. En raison de cela, la directive root
sera définie globalement, ce qui signifie que les demandes à /
vous amèneront au chemin local /etc/nginx
.
Une requête aussi simple que GET /nginx.conf
révélerait le contenu du fichier de configuration Nginx stocké dans /etc/nginx/nginx.conf
. Si la racine est définie sur /etc
, une requête GET
à /nginx/nginx.conf
révélerait le fichier de configuration. Dans certains cas, il est possible d'accéder à d'autres fichiers de configuration, journaux d'accès et même à des informations d'identification chiffrées pour l'authentification de base HTTP.
Configuration incorrecte de LFI Alias
Dans la configuration Nginx, recherchez les déclarations "location", si l'une d'entre elles ressemble à :
location /imgs {
alias /path/images/;
}
Il y a une vulnérabilité LFI car:
/imgs../flag.txt
Le contenu suivant provient d'un livre de piratage sur les techniques de piratage. Le contenu suivant provient du fichier network-services-pentesting/pentesting-web/nginx.md. Traduisez le texte anglais pertinent en français et renvoyez la traduction en conservant la syntaxe markdown. Ne traduisez pas les choses comme le code, les noms de techniques de piratage, les mots de piratage, les noms de plateformes cloud/SaaS (comme Workspace, aws, gcp...), le mot 'leak', pentesting et les balises markdown. N'ajoutez également rien d'autre que la traduction et la syntaxe markdown.
/path/images/../flag.txt
La configuration correcte sera :
location /imgs/ {
alias /path/images/;
}
Donc, si vous trouvez un serveur Nginx, vous devriez vérifier cette vulnérabilité. De plus, vous pouvez la découvrir si vous constatez que la force brute des fichiers/répertoires se comporte de manière étrange.
Plus d'informations: https://www.acunetix.com/vulnerabilities/web/path-traversal-via-misconfigured-nginx-alias/
Tests d'Accunetix:
alias../ => HTTP status code 403
alias.../ => HTTP status code 404
alias../../ => HTTP status code 403
alias../../../../../../../../../../../ => HTTP status code 400
alias../ => HTTP status code 403
Utilisation non sécurisée de variables
Un exemple de configuration Nginx vulnérable est :
location / {
return 302 https://example.com$uri;
}
Les caractères de nouvelle ligne pour les requêtes HTTP sont \r (Retour chariot) et \n (Saut de ligne). L'encodage d'URL des caractères de nouvelle ligne donne la représentation suivante des caractères %0d%0a
. Lorsque ces caractères sont inclus dans une requête telle que http://localhost/%0d%0aDetectify:%20clrf
à un serveur avec une mauvaise configuration, le serveur répondra avec un nouvel en-tête nommé Detectify
car la variable $uri contient les caractères de nouvelle ligne décodés de l'URL.
HTTP/1.1 302 Moved Temporarily
Server: nginx/1.19.3
Content-Type: text/html
Content-Length: 145
Connection: keep-alive
Location: https://example.com/
Detectify: clrf
En savoir plus sur les risques d'injection CRLF et de fractionnement de réponse sur https://blog.detectify.com/2019/06/14/http-response-splitting-exploitations-and-mitigations/.
N'importe quelle variable
Dans certains cas, les données fournies par l'utilisateur peuvent être traitées comme une variable Nginx. Il n'est pas clair pourquoi cela peut se produire, mais ce n'est pas si rare ou facile à tester comme on peut le voir dans ce rapport H1. Si nous recherchons le message d'erreur, nous pouvons voir qu'il se trouve dans le module de filtre SSI, révélant ainsi que cela est dû à SSI.
Une façon de tester cela est de définir une valeur d'en-tête referer :
$ curl -H ‘Referer: bar’ http://localhost/foo$http_referer | grep ‘foobar’
Nous avons scanné cette mauvaise configuration et avons trouvé plusieurs instances où un utilisateur pouvait imprimer la valeur des variables Nginx. Le nombre d'instances vulnérables trouvées a diminué, ce qui pourrait indiquer que cela a été corrigé.
Lecture brute de la réponse du backend
Avec proxy_pass
de Nginx, il est possible d'intercepter les erreurs et les en-têtes HTTP créés par le backend. Cela est très utile si vous voulez masquer les messages d'erreur et les en-têtes internes afin qu'ils soient gérés par Nginx. Nginx servira automatiquement une page d'erreur personnalisée si le backend répond avec une telle page. Mais que se passe-t-il si Nginx ne comprend pas qu'il s'agit d'une réponse HTTP ?
Si un client envoie une requête HTTP invalide à Nginx, cette requête sera transmise telle quelle au backend, et le backend répondra avec son contenu brut. Ensuite, Nginx ne comprendra pas la réponse HTTP invalide et la transmettra simplement au client. Imaginez une application uWSGI comme celle-ci :
def application(environ, start_response):
start_response('500 Error', [('Content-Type',
'text/html'),('Secret-Header','secret-info')])
return [b"Secret info, should not be visible!"]
Et avec les directives suivantes dans Nginx :
http {
error_page 500 /html/error.html;
proxy_intercept_errors on;
proxy_hide_header Secret-Header;
}
proxy_intercept_errors
servira une réponse personnalisée si le backend a un statut de réponse supérieur à 300. Dans notre application uWSGI ci-dessus, nous enverrons une Erreur 500
qui sera interceptée par Nginx.
proxy_hide_header
est assez explicite; il masquera tout en-tête HTTP spécifié du client.
Si nous envoyons une requête GET
normale, Nginx renverra:
HTTP/1.1 500 Internal Server Error
Server: nginx/1.10.3
Content-Type: text/html
Content-Length: 34
Connection: close
Mais si nous envoyons une requête HTTP invalide, telle que :
GET /? XTTP/1.1
Host: 127.0.0.1
Connection: close
Nous obtiendrons la réponse suivante :
XTTP/1.1 500 Error
Content-Type: text/html
Secret-Header: secret-info
Secret info, should not be visible!
merge_slashes défini sur off
La directive merge_slashes est définie par défaut sur "on", ce qui est un mécanisme pour compresser deux ou plusieurs barres obliques en une seule, donc ///
deviendrait /
. Si Nginx est utilisé en tant que reverse-proxy et que l'application qui est proxifiée est vulnérable à l'inclusion de fichiers locaux, l'utilisation de barres obliques supplémentaires dans la requête pourrait laisser place à une exploitation. Cela est décrit en détail par Danny Robinson et Rotem Bar.
Nous avons trouvé 33 fichiers de configuration Nginx avec merge_slashes
défini sur "off".
default n'est pas spécifié pour la directive map
Il semble que le cas commun lorsque map
est utilisé pour un certain type de contrôle d'autorisation. Un exemple simplifié pourrait ressembler à:
http {
...
map $uri $mappocallow {
/map-poc/private 0;
/map-poc/secret 0;
/map-poc/public 1;
}
...
}
server {
...
location /map-poc {
if ($mappocallow = 0) {return 403;}
return 200 "Hello. It is private area: $mappocallow";
}
...
}
Selon le manuel (https://nginx.org/en/docs/http/ngx_http_map_module.html):
Valeur par défaut
définit la valeur résultante si la valeur source ne correspond à aucune des variantes spécifiées. Lorsque la valeur par défaut n'est pas spécifiée, la valeur résultante par défaut sera une chaîne vide.
Il est facile d'oublier la valeur "default". Ainsi, un malfaiteur peut contourner ce "contrôle d'autorisation" en accédant simplement à un cas inexistant dans /map-poc comme https://targethost.com/map-poc/another-private-area
.
Spoofing DNS Nginx
Selon cet article: http://blog.zorinaq.com/nginx-resolver-vulns/ Il pourrait être possible de falsifier les enregistrements DNS pour Nginx si vous connaissez le serveur DNS que Nginx utilise (et vous pouvez intercepter la communication d'une manière ou d'une autre, donc cela n'est pas valable si 127.0.0.1 est utilisé) et le domaine qu'il demande.
Nginx peut spécifier un serveur DNS à utiliser avec:
resolver 8.8.8.8;
Directives proxy_pass
et internal
La directive proxy_pass
peut être utilisée pour rediriger les demandes vers d'autres serveurs internes ou externes.
La directive internal
est utilisée pour indiquer à Nginx que la localisation ne peut être accédée qu'en interne.
L'utilisation de ces directives n'est pas une vulnérabilité, mais vous devriez vérifier comment elles sont configurées.
proxy_set_header Upgrade & Connection
Si le serveur nginx est configuré pour passer les en-têtes Upgrade et Connection, une attaque d'h2c Smuggling pourrait être effectuée pour accéder à des points de terminaison protégés/internes.
{% hint style="danger" %}
Cette vulnérabilité permettrait à un attaquant d'établir une connexion directe avec le point de terminaison proxy_pass
(http://backend:9999
dans ce cas) dont le contenu ne sera pas vérifié par nginx.
{% endhint %}
Exemple de configuration vulnérable pour voler /flag
à partir de ici:
server {
listen 443 ssl;
server_name localhost;
ssl_certificate /usr/local/nginx/conf/cert.pem;
ssl_certificate_key /usr/local/nginx/conf/privkey.pem;
location / {
proxy_pass http://backend:9999;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $http_connection;
}
location /flag {
deny all;
}
{% hint style="warning" %}
Notez que même si proxy_pass
pointait vers un chemin spécifique tel que http://backend:9999/socket.io
, la connexion sera établie avec http://backend:9999
, vous pouvez donc contacter tout autre chemin à l'intérieur de ce point de terminaison interne. Il n'est donc pas important qu'un chemin soit spécifié dans l'URL de proxy_pass.
{% endhint %}
Essayez par vous-même
Detectify a créé un référentiel GitHub où vous pouvez utiliser Docker pour configurer votre propre serveur de test Nginx vulnérable avec certaines des mauvaises configurations discutées dans cet article et essayer de les trouver vous-même!
https://github.com/detectify/vulnerable-nginx
Outils d'analyse statique
GIXY
Gixy est un outil d'analyse de la configuration Nginx. L'objectif principal de Gixy est de prévenir les mauvaises configurations de sécurité et d'automatiser la détection des failles.
Nginxpwner
Nginxpwner est un outil simple pour rechercher les mauvaises configurations et les vulnérabilités courantes de Nginx.
Références
- https://blog.detectify.com/2020/11/10/common-nginx-misconfigurations/
- http://blog.zorinaq.com/nginx-resolver-vulns/
- https://github.com/yandex/gixy/issues/115
DragonJAR Security Conference es un evento internacional de ciberseguridad avec plus d'une décennie qui se tiendra les 7 et 8 septembre 2023 à Bogotá, en Colombie. C'est un événement de contenu technique élevé où les dernières recherches en espagnol sont présentées, attirant des hackers et des chercheurs du monde entier.
Inscrivez-vous dès maintenant sur le lien suivant et ne manquez pas cette grande conférence!:
{% embed url="https://www.dragonjarcon.org/" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Travaillez-vous dans une entreprise de cybersécurité? Voulez-vous voir votre entreprise annoncée dans HackTricks? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF? Consultez les PLANS D'ABONNEMENT!
- Découvrez The PEASS Family, notre collection exclusive de NFT
- Obtenez le swag officiel PEASS & HackTricks
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.