nginx目录遍历漏洞复现
漏洞描述:
Nginx的目录遍历与apache一样,属于配置方面的问题,错误的配置可导致目录遍历与源码泄露。
漏洞原理:
修改nginx.conf,在如下图位置添加autoindex on
环境搭建:
在ubuntu 安装nginx
安装nginx依赖库
安装gcc g++的依赖库
ubuntu平台可以使用如下命令:
apt-get install build-essential
apt-get install libtool
安装pcre依赖库
apt-get install libpcre3 libpcre3-dev
安装zlib依赖库
apt-get install zlib1g-dev
安装ssl依赖库
apt-get install openssl
安装nginx
下载最新版本:
wget http://nginx.org/download/nginx-1.11.3.tar.gz
解压:
tar -zxvf nginx-1.11.3.tar.gz
进入解压目录:
cd nginx-1.11.3
配置:
./configure –prefix=/usr/local/nginx
编辑nginx:
Make
安装nginx:
make install
启动nginx:
/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
漏洞复现:
浏览器访问,测试nginx是否搭建成功
重启nginx服务
进入nginx目录输入nginx -s reload进行重启
在nginx网站根目录下()创建一个test文件夹然后创建几个文件
此时浏览器访问http://192.168.10.137/test/,发现如下图,说明存在漏洞
漏洞修复:
修改/usr/local/nginx/conf/nginx.conf,修改autoindex off或者删除,然后重启nginx服务
浏览器再次访问http://127.0.0.1/test/,如下图所示,说明漏洞不存在
Original: https://blog.csdn.net/qq_48985780/article/details/121401646
Author: xzhome
Title: nginx目录遍历漏洞复现
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/736876/
转载文章受原作者版权保护。转载请注明原作者出处!