zoukankan      html  css  js  c++  java
  • nginx目录遍历漏洞复现

    nginx目录遍历漏洞复现

    一、漏洞描述

    Nginx的目录遍历与apache一样,属于配置方面的问题,错误的配置可导致目录遍历与源码泄露。

    二、漏洞原理

    1、 修改nginx.conf,在如下图位置添加autoindex on

      

    三、漏洞环境搭建和复现

    1、 在ubuntu 16.04安装nginx

    1.1安装nginx依赖库

    1.1.1安装gcc g++的依赖库

    ubuntu平台可以使用如下命令:

    apt-get install build-essential

    apt-get install libtool

    1.1.2安装pcre依赖库

    apt-get install libpcre3 libpcre3-dev

    1.1.3安装zlib依赖库

    apt-get install zlib1g-dev

    1.1.4安装ssl依赖库

    apt-get install openssl

    1.2安装nginx

    #下载最新版本:

    wget http://nginx.org/download/nginx-1.11.3.tar.gz

    #解压:

    tar -zxvf nginx-1.11.3.tar.gz

    #进入解压目录:

    cd nginx-1.11.3

    #配置:

    ./configure --prefix=/usr/local/nginx

    #编辑nginx:

    Make

    #安装nginx:

    make install

    #启动nginx:

    /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf

    1.3浏览器访问,测试nginx是否搭建成功

      

    2、修改/usr/local/nginx/conf/nginx.conf,在如下图位置添加autoindex on

      

    3、重启nginx服务

    ./sbin/nginx -s reload

      

    4、在nginx网站根目录下()创建一个test文件夹然后创建几个文件

      

    5、此时浏览器访问http://192.168.10.137/test/,发现如下图,说明存在漏洞

      

    6、修改/usr/local/nginx/conf/nginx.conf,在如下图位置修改autoindex off,然后重启nginx服务,浏览器再次访问http://192.168.10.137/test/,如下图所示,说明漏洞不存在

      

    四、漏洞防御

    1、 修改/usr/local/nginx/conf/nginx.conf,在如下图位置修改autoindex off,或者删除autoindex on

    ------------------------------------------------------------------------------------------

    参考: ubuntu 16.04安装nginx https://www.cnblogs.com/piscesLoveCc/p/5794926.html

  • 相关阅读:
    常用PHP array数组函数
    每天学习30分钟新知识之html教程1
    laravel学习之路2: jwt集成
    JWT简介json web token bear token
    MDwiki 调研
    laravel学习之路1:认证相关
    OAuth 2.0介绍
    第一行代码 6.4 数据存储全方案-详解持久化数据- 数据库
    github(1)安装及使用图文详解
    Android集成讯飞语音、百度语音、阿里语音识别
  • 原文地址:https://www.cnblogs.com/yuzly/p/11208842.html
Copyright © 2011-2022 走看看