Nginx 文件名逻辑漏洞 CVE-2013-4547

发表于2026-02-12|更新于2026-03-13|漏洞

|总字数:539|阅读时长:1分钟

影响范围：

Nginx 0.8.41 - 1.4.3
Nginx 1.5.0 - 1.5.7

漏洞类型：

任意文件解析

操作系统限制：

无

配置要求：

默认配置

漏洞利用：

远程命令执行

利用原理：

在受影响的版本中，Nginx 读取路径中的字符时候，遇到空格会认为路径部分结束，接下来是 HTTP 协议版本，如果在空格后面接着一个空字节（0x00），Nginx 错误地跳过正常终止逻辑，允许非法字符序列进入后续路径处理。攻击者修改文件后缀，末尾有一个空格，Nginx 接收到请求后在磁盘找到相应文件后认为请求合法，但完整路径是/uploadfiles/文件名.gif[0x20] [0x00].php，配置文件 conf 正则匹配到.php，就会交给后端 FastCGI 处理，由于 FastCGI 协议和 PHP 解析器是基于 C 语言字符串处理，C 语言中的 0x00 代表字符串结束，PHP 实际处理的文件则是/uploadfiles/文件名.gif，因为该文件已经被 Nginx 指定文件后缀，PHP 会忽略其 gif 后缀，直接解析其中的 PHP 代码，导致远程代码执行

漏洞复现：

现成的 vulhub 来拉取镜像

#下载vulhub源代码
git clone https://github.com/vulhub/vulhub.git
#进入漏洞目录
cd vulhub/nginx/CVE-2013-4547
#拉取镜像
docker-compose up -d

1773154432311

写一个 phpinfo，保存为 php 文件

1	<?php phpinfo(); ?>

1773154466853

访问 http://靶机 ip:8080，将刚刚写的的 php 木马上传

1773154489302

上传失败

1773154498191

选择木马 php 文件，用 burpsuite 抓取数据包

1773154569504

发送到 Repeater 模块

1773154729254

修改文件后缀为.gif ，gif 后面有一个空格

1773154881633

发送后返回 200

1773155039760

用 burpsuite 抓取 http://公网 ip:8080/uploadfiles/payload.gif.php 的数据包

1773155089351

发送到 Repeater 模块，并修改访问路径，在 gif 后面加两个空格

1773155128963

到 Hex 将后一个 20（空格）改为 00，后发送返回 200

1773155196297

查看页面，可以看到执行了 phpinfo ()，可以上传一句话木马，但是该信道是发一次数据包执行一次命令，并不是连续且实时通信的信道

1773155242548

文章作者: Johan

文章链接: https://cjh-1001.github.io/2026/02/12/CVE-2013-4547/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Johan的秘密小窝！

相关推荐

Nginx 整数溢出漏洞 CVE-2017-7529

影响范围 Nginx 0.5.6 - 1.13.2 漏洞类型整数溢出操作系统限制无配置要求Nginx 开启了缓存功能漏洞利用信息泄露利用原理Nginx 处理 Range 请求的模块计算请求范围时候使用了 64 位有符号整数，在计算多段请求时候，Nginx 会计算总的返回长度，攻击者通过给出接近 64 位整数机选大数字，两个负数相减或正数相加，结果超过 64 位整数能表示的最大范围，这个数值在计算机内部发生了溢出。当 Nginx 开启了缓存，存文件的格式不是纯文本，而是包含 KEY、过期时间、后端服务器信息，后端返回的原始头信息，以及真正的网页内容，由于漏洞导致的整数溢出（没做边界检验），攻击者构造负数起始位置，在通过整数溢出使得请求变得合理（大整数与负数相加后整数溢出变成极小的数，极小的数小于实际文件总长，使服务器认为请求合理），Nginx 内部计算的原始读取位置发生了偏移，可以让出错的指针刚好落到缓存头区域，进而读到缓存的内容漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vu...

JBoss 反序列化漏洞 CVE-2017-7504

影响范围 JBoss AS 3.2.0 - 4.2.3.GA 漏洞类型Java 反序列化操作系统限制无配置要求默认配置漏洞利用命令执行，反弹 shell 利用原理JBoss AS 默认集成了一个用于 HTTP 协议传输信息的组件 JBossMQ，其组件含有一个名为 HTTPServerILServlet 的接口，该接口访问路径/jbossmq-httpil/HTTPServerILServlet 无需校验即可访问，Servlet 处理 POST 请求数据时，直接调用 readObject () 方法来反序列化数据流，且未对传入对象进行安全过滤或白名单限制，攻击者利用 yoserial 工具生成恶意系列化二进制数据，通过 HTTP 请求发送到靶机，JBoss 解析对象时自动触发对象内部嵌套的恶意代码漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/jboss/CVE-2017-7504#拉取镜像docker-compos...

Redis 沙盒逃逸漏洞 CVE-2022-0543

影响范围 Debian 10 (Buster) Redis 软件包: 5.0 - 5.0.14-1 Debian 11 (Bullseye) Redis 软件包: 6.0 - 6.0.16-1 Ubuntu 18.04 LTS Redis 软件包: 4.0.0 - 4.0.9-1ubuntu0.2 Ubuntu 20.04 LTS Redis 软件包: 5.0.0 - 5.0.7-2ubuntu0.1 Ubuntu 22.04 LTS Redis 软件包: 6.0.0 - 6.0.15-1ubuntu0.1 Docker Redis (Debian / Bullseye 变体) 镜像: 5.0.0 - 5.0.14 Docker Redis (Debian / Bullseye 变体) 镜像: 6.0.0 - 6.0.15 Kali Linux Redis 软件包: 5.0.0 - 6.0.15 Raspbian (树莓派) Redis 软件包: 4.0.0 - 6.0.15 其他 Debian 系衍生版 Redis 软件包: 4.0.0 - 7.0.0-rc2 漏洞类型Red...

WebLogic 远程代码执行漏洞 CVE-2023-21839

影响范围 WebLogic Server 12.2.1.3.0 WebLogic Server 12.2.1.4.0 WebLogic Server 14.1.1.0.0 漏洞类型未授权访问、JNDI 注入、Java 反序列化操作系统限制无配置要求 7001 端口对外开放漏洞利用命令执行，反弹 shell 利用原理WebLogic 默认开启 T3 协议用于内部分布式通信，T3 协议某些接口没有对调用者进行身份校验，WebLogic 内部中的一个叫 weblogic.deployment.jms.ForeignOpaqueReference 的类是用来引用外部资源的，当把这个类的一个实例发送给 WebLogic 会触发 getReferent () 方法，WebLogic 会自动根据对象内部存储的 remoteJNDIName 发起新的请求，攻击者利用反射机制，强行将 remoteJNDIName 改成恶意的 ldap://攻击机 ip:1389/Exploit。WebLogic 访问 marshalsec（LDAP）时，marshalsec 返回一个引用对象，里面含有编...

Shiro 认证绕过漏洞 CVE-2020-1957

影响范围 Apache Shiro 1.0.0-incubating - 1.5.1 漏洞类型权限绕过操作系统限制无配置要求 Shiro 拦截器采用了路径匹配模式漏洞利用登录管理后台，信息泄露利用原理在 Shiro 的 1.5.2 之前的版本中，WebUtils.getPathWithinApplication() 方法处理 URL 时候会根据分号对路径进行截断，会认为分号后面不属于路径一部分；而 Spring 框架在匹配控制器路由时候，会对 URL 进行标准化处理（例如解析穿越符..），它对分号处理方式不同。二者对请求的解析不一样，攻击者通过特殊构造/;/路径来绕过 Shiro 的过滤漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/shiro/CVE-2020-1957#拉取镜像docker-compose up -d 抓取 http://靶机 ip:8080/admin 数据包发送到 Repeater...

Spring Cloud Function 远程代码执行漏洞 CVE-2022-22963

影响范围 Spring Cloud Function 3.0.0 - 3.1.6 Spring Cloud Function 3.2.0 - 3.2.2 漏洞类型 SpEL 表达式注入操作系统限制无配置要求默认配置漏洞利用命令执行，进行反弹 shell，写入木马利用原理Spring Cloud Function 引入 RoutingFunction 功能，允许开发者根据特定条件动态将请求分发给不同函数执行，框架允许通过 HTTP Header 来指定路由逻辑。当请求到达时，RoutingFunction 会检查是否存在特定 HTTP 请求头：spring.cloud.function.routing-expression，如果存在该 Header，框架会将其值作为 SpEL 表达式处理，攻击者可以构造恶意 payload 注入到 spring.cloud.function.routing-expression 属性值，服务器处理 POST 请求时候，识别到恶意 payload 就会触发解析，执行恶意命令。POST 请求主体不能为空，若为空，Spring 的 Messag...

评论

数据加载中