SimpleCMS-nginx 缓存配置的安全问题

高校运维赛的一道SimpleCMS的题，考察的是Nginx的缓存配置的安全问题, 之前做题也遇见过，但没仔细分析，现在补充一波

题目有一处文件包含和一处文件读取的地方:

文件包含:?page=../../../../../../../../etc/passwd
文件读取:/static.php?f[]=/etc/passwd

通过文件包含读取到了nginx的配置文件如下:

​ ​ ​ ​ # ​ ​ cache
​ ​ ​ ​ fastcgi_cache_path​​ ​ ​ /tmp​ ​ levels=​ 1 ​ : ​ 2 ​ ​ keys_zone=STATIC:​ 10m
inactive=​ 24h​​ ​ ​ max_size=​ 50m​ ;
​ ​ ​ ​ fastcgi_cache_key​​ ​ $host$uri​ ;
​ ​ ​ ​ fastcgi_cache_methods​​ ​ GET​ ​ HEAD;
​ ​ ​ ​ server​​ ​ {
​ ​ ​ ​ ​ ​ ​ ​ listen​​ ​ ​ ​ ​ ​ ​ ​ 80​ ;
​ ​ ​ ​ ​ ​ ​ ​ server_name​​ ​ localhost;
​ ​ ​ ​ ​ ​ ​ ​ root​​ ​ ​ /app/www/;
​ ​ ​ ​ ​ ​ ​ ​ index​​ ​ index.php;

    ​ ​ location​​ ​ ~ ​ ​ ^(.+\.php)(.*)$​​ ​ {
    ​ ​ ​ ​ ​ ​ set​​ ​ $no_cache​​ ​ 1 ​ ;
    ​ ​ ​ ​ ​ ​ if​​ ​ ( ​ $uri​​ ​ ~ ​ ​ \.(css|js)$)​​ ​ {
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ set​​ ​ $no_cache​​ ​ 0 ​ ;​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ }
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_cache_bypass​​ ​ $no_cache​ ;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_no_cache​​ ​ $no_cache​ ;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_cache​​ ​ ​STATIC;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_cache_valid​​ ​ ​ ​ ​ ​ ​ 200​​ ​ ​ 1d​ ;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ add_header​​ ​ X-Proxy-Cache​ ​ $upstream_cache_status​ ;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_split_path_info​​ ​ ​ ​ ^(.+\.php)(.*)$​ ;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_pass​​ ​ ​ ​ unix:/run/php-fpm.sock;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_index​​ ​ ​ index.php;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_param​​ ​ ​ SCRIPT_FILENAME
    $document_root$fastcgi_script_name​ ;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_param​​ ​ PATH_INFO​ ​ ​ ​ ​ ​ ​ ​ $fastcgi_path_info​ ;
    ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ include​​ ​ ​ ​ ​ ​ ​ ​ ​ fastcgi_params;
    ​ ​ ​ ​ ​ ​ ​ ​ }
    ​ ​ ​ ​ }
}

对这些配置选项的作用一一分析下:

fastcgi_cache_path:

作用域：http

levels:指定了该缓存空间有两层hash目录，设置缓存目录层数，levels=1:2，表示创建两层目录缓存，最多创建三层。第一层目录名取fastcgi_cache_key md5的最后一个字符，第二层目录名取倒数2-3字符，如：fastcgi_cache_key md5为b7f54b2df7773722d382f4809d65029c，则：

levels=1:2为/tmp/c/29/b7f54b2df7773722d382f4809d65029c
levels=1:2:3为/tmp/c/29/650/b7f54b2df7773722d382f4809d65029c

keys_zone=STATIC:10M:为这个缓存区起名为STATIC,10m指代缓存空间为10MB;

inactive=1d 代表如果缓存文件一天内没有被访问，则删除;

max_size=50m:代表硬盘缓存最大为50m

fastcgi_cache_key

设置缓存的key值, nginx更具key值的md5来值来为规范缓存的路径和命名

fastcgi_cache_method

缓存支持的方法，　这里支持GET和HEAD 方法
默认缓存HTTP GET/HEAD方法

fastcgi_cache_bypass

设置过滤的缓存黑名单

fastcgi_cache

缓存名，和前面keys_zone设置的名称保持一致即可

fastcgi_cache_valid

该指令用于对不同返回状态码的URL设置不同的缓存时间, 200 1d 表示返回码 200,缓存时间为1天

注意：如果不指定状态码，直接指定缓存时间，则只有200,301,302状态码会进行缓存。

add_header​​ ​ X-Proxy-Cache​ ​ $upstream_cache_status​ ;

x-cache头，用于调试

$upstream_cache_status 变量表示此请求响应来自cache的状态，几种状态分别为

• MISS表示未命中
  即这个页面还没被缓存，新发布或刚被删除的页面，首次访问将出现这个状态（图略）。
• HIT表示缓存命中
  打开一个会缓存的页面，比如文章内容html页面，F5刷新几次即可在F12开发者模式当中的Header头部信息中看到如图缓存命中状态：
• BYPASS表示缓存黑名单
  即页面路径在Nginx规则中被设置成不缓存（set $skip_cache 1;）

了解完了这些配置选项后我们要怎么做呢？ 题目只能对css,js文件进行缓存，无法对php文件缓存

从配置文件知道这里设置了phpinfo模式，导致static.php/1.js这种路径的文件可以被正确解析出static.php文件路径，因此我们这里可以构造出一个污染的地址出来让nginx去缓存下来，static.php文件在读取不存在的文件时会输出到页面中来，因此我们构造出一个shell让nginx缓存然后在利用文件包含getshell即可

因为原题已经无法复现了，这里我写了个小的demo程序来本地复现一下

<?php
if(isset($_GET['page'])){
    include($_GET['page']);
}else{
    echo 'no set page';
}
if(isset($_GET['f'])){
    if(!is_file($_GET['f'])){
        echo $_GET['f']."is not a file";
    }
    echo file_get_contents($_GET['f']);
}else{
    echo 'no set f';
}

?>

我们首先提交ff.php/1.js?f=<?php phpinfo();?> 这样的url, 之后在缓存目录可以看到生成了缓存文件:/var/www/4/0b/cc5226f4e463de0be12259f5af1f10b4

之后就是利用文件包含getshell

ff.php?page=/var/www/4/0b/cc5226f4e463de0be12259f5af1f10b4