Ngnix在遇到%00空字節時與后端FastCGI處理不一致，導致可以在圖片中嵌入PHP代碼然后通過訪問abc.png%00.php來執行其中的代碼,惡意攻擊者可以通過上傳包含執行代碼的圖片文件來執行有特殊目的的代碼。

影響版本：0.5.*, 0.6.*, 0.7 <= 0.7.65, 0.8

<= 0.8.37

nginx默認以cgi的方式支持php的運行，譬如在配置文件當中可以以

location ~ \.php$ {

root html;

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;

include fastcgi_params;

}

的方式支持對php的解析，location對請求進行選擇的時候會使用URI環境變量進行選擇，其中傳遞到后端Fastcgi的關鍵變量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name決定，而通過分析可以看到$fastcgi_script_name是直接由URI環境變量控制的，這里就是產生問題的點。而為了較好的支持PATH_INFO的提取，在PHP的配置選項里存在cgi.fix_pathinfo選項，其目的是為了從SCRIPT_FILENAME里取出真正的腳本名。

那么假設存在一個http://www.aabc.com/aaxx.png，我們以如下的方式去訪問

將會得到一個URI

/aaxx.png/%00.php

經過location指令，該請求將會交給后端的fastcgi處理，nginx為其設置環境變量SCRIPT_FILENAME，內容為

/scripts/aaxx.png/%00.php

而在其他的webserver如lighttpd當中，我們發現其中的SCRIPT_FILENAME被正確的設置為

/scripts/%00.php

所以不存在此問題。

后端的fastcgi在接受到該選項時，會根據fix_pathinfo配置決定是否對SCRIPT_FILENAME進行額外的處理，一般情況下如果不對fix_pathinfo進行設置將影響使用PATH_INFO進行路由選擇的應用，所以該選項一般配置開啟。Php通過該選項之后將查找其中真正的腳本文件名字，查找的方式也是查看文件是否存在，這個時候將分離出SCRIPT_FILENAME和PATH_INFO分別為

/scripts/aabc.png和%00.php

最后，以/scripts/aabc.png作為此次請求需要執行的腳本，攻擊者就可以實現讓nginx以php來解析任何類型的文件了。

POC：

訪問一個nginx來支持php的站點，在一個任何資源的文件如robots.txt后面加上/aaxx.php，這個時候你可以看到如下的區別：

訪問http://www.abcd.com/robots.txt

HTTP/1.1 200 OK

Server: nginx/0.6.32

Date: Thu, 20 May 2010 10:05:30 GMT

Content-Type: text/plain

Content-Length: 18

Last-Modified: Thu, 20 May 2010 06:26:34 GMT

Connection: keep-alive

Keep-Alive: timeout=20

Accept-Ranges: bytes

訪問http://www.abcd.com/robots.txt/%00.php

HTTP/1.1 200 OK

Server: nginx/0.6.32

Date: Thu, 20 May 2010 10:06:49 GMT

Content-Type: text/html

Transfer-Encoding: chunked

Connection: keep-alive

Keep-Alive: timeout=20

X-Powered-By: PHP/5.2.6

其中的Content-Type的變化說明了后端負責解析的變化，該站點就可能存在漏洞。

漏洞廠商：http://www.nginx.org

解決方案：

nginx升級到?0.7

>?0.7.65,

0.8?> 0.8.37

創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的php %00,Nginx %00 null byte执行任意代码(php)漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。