首页 / NGINX / nginx目录遍历漏洞复现
nginx目录遍历漏洞复现
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了nginx目录遍历漏洞复现,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1524字,纯文字阅读大概需要3分钟。
内容图文
nginx目录遍历漏洞复现
一、漏洞描述
Nginx的目录遍历与apache一样,属于配置方面的问题,错误的配置可导致目录遍历与源码泄露。
二、漏洞原理
1、 修改nginx.conf,在如下图位置添加autoindex on
三、漏洞环境搭建和复现
1、 在ubuntu 16.04安装nginx
1.1安装nginx依赖库
1.1.1安装gcc g++的依赖库
ubuntu平台可以使用如下命令:
apt-get install build-essential
apt-get install libtool
1.1.2安装pcre依赖库
apt-get install libpcre3 libpcre3-dev
1.1.3安装zlib依赖库
apt-get install zlib1g-dev
1.1.4安装ssl依赖库
apt-get install openssl
1.2安装nginx
#下载最新版本:
wget http://nginx.org/download/nginx-1.11.3.tar.gz
#解压:
tar -zxvf nginx-1.11.3.tar.gz
#进入解压目录:
cd nginx-1.11.3
#配置:
./configure --prefix=/usr/local/nginx
#编辑nginx:
Make
#安装nginx:
make install
#启动nginx:
/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
1.3浏览器访问,测试nginx是否搭建成功
2、修改/usr/local/nginx/conf/nginx.conf,在如下图位置添加autoindex on
3、重启nginx服务
./sbin/nginx -s reload
4、在nginx网站根目录下()创建一个test文件夹然后创建几个文件
5、此时浏览器访问http://192.168.10.137/test/,发现如下图,说明存在漏洞
6、修改/usr/local/nginx/conf/nginx.conf,在如下图位置修改autoindex off,然后重启nginx服务,浏览器再次访问http://192.168.10.137/test/,如下图所示,说明漏洞不存在
四、漏洞防御
1、 修改/usr/local/nginx/conf/nginx.conf,在如下图位置修改autoindex off,或者删除autoindex on
------------------------------------------------------------------------------------------
参考: ubuntu 16.04安装nginx https://www.cnblogs.com/piscesLoveCc/p/5794926.html
内容总结
以上是互联网集市为您收集整理的nginx目录遍历漏洞复现全部内容,希望文章能够帮你解决nginx目录遍历漏洞复现所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。