nginx 配置错误而导致目录遍历漏洞

一个很鸡肋的目录遍历漏洞,不知道算不算是漏洞,前提条件是必须是子目录、开启了autoindex,并且alias指定目录的时候加了"/",才能利用成功。这是因为配置不规范造成的

server {
    listen    80;
    server_name sebug.net;
    index index.htm index.html;
    root  /home/wwwroot/www;
    access_log off;
    location /paper {
           alias /home/wwwroot/paper/;
           autoindex on;
       }
}

注意 这里/home/wwwroot/paper/;  有个/

当你浏览http://sebug.net/paper/,正常情况应该遍历/home/wwwroot/paper/这个目录,但是如果访问http://sebug.net/paper../, 这个的话就会遍历/home/wwwroot/这个目录了

这个要利用,很有难度。nginx

关键词: nginx

上一篇: 携程招聘安全工程师
下一篇: ARM芯片介绍(转贴)

访客评论
#1
回复 mettk 2012-01-11, 16:01:35
飘过,收了。。。
#2
回复 towry 2012-01-18, 17:43:16
看了你的那个about_us页面,里面有段话我非常喜欢!!!!
#3
回复 soulteary 2012-01-31, 21:02:24
用NGIX然后还能直接爆出内容的脚本,比如config...难以想想是怎样的程序,对了,还有博主所说的要加上/ ,汗...
#4
回复 大公鸡 2012-02-03, 13:03:52
博主的博客很喜欢,支持一个了!同时祝各位网友龙年吉祥、平安!
#5
回复 Mrsm1th 2017-03-22, 17:07:40
大佬,我可以转载你的这篇文章吗?
发表评论

评论内容 (必填):