nginx设置cgi.fix_pathinfo漏洞和解决方法

最近在学习nginx的配置，有一个设置需要在php.ini中把 cgi.fix_pathinfo = 1 改成cgi.fix_pathinfo=0, 想了解下这个参数设置的具体功能，所以百度了下，发现这里有一个PHP PATH_INFO的漏洞
（详见:https://bugs.php.net/bug.php?id=50852&edit=1）大致先了解下。

【漏洞分析】location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。

【漏洞场景】在http://xiumu.blog.51cto.com/上传一张正常图片helloworld.jpg，可以访问，如果我们制作一个
PHP
webshell命名为hacker.php，复制命名为hacker.jpg，如果正常上传的话，那么下一步就是要考虑如何把hacker.jpg当做
hacker.php来执行。安全的情况下若执行http://xiumu.blog.51cto.com/hacker.jpg/abc.php，那么
URL会被分离成

目录"www\hacker.jpg\" 和文件"abc.php",

但如果存在PHP PATH_INFO漏洞的话将得到"hacker.jpg/abc.php"，经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为"/scripts/hacker.jpg/abc.php",后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为

/scripts/hacker.jpg和abc.php

最后，以/scripts/hacker.jpg作为此次请求需要执行的脚本，攻击者就可以实现让nginx以php来解析任何类型的文件了。

不过后来发现其导致PHP的超全局变量 $_SERVER[‘PHP_SELF‘]为空于是有些程序会出错（比如Discuz会拼接出错误图片头像路径）。

【解决方法】

方法一：修改php.ini，设置cgi.fix_pathinfo = 0;然后重启php-cgi。此修改会影响到使用PATH_INFO伪静态的应用，例如：http://xiumu.blog.51cto.com/520.html 就不能访问了。

方法二：在nginx的配置文件添加如下内容后重启：if ( $fastcgi_script_name ~ \..*\/.*php ) {return 403;}。该匹配会影响类似 http://xiumu.blog.51cto.com/5.0/helloworld.php的访问。

方法三：

----------代码源自网络----------

if ($request_filename ~* (.*)\.php) {
    set $php_url $1;
}
if (!-e $php_url.php) {
    return 403;
}

fastcgi_param  GATEWAY_INTERFACE  CGI/1.1;
fastcgi_param  SERVER_SOFTWARE    nginx;

fastcgi_param  QUERY_STRING       $query_string;
fastcgi_param  REQUEST_METHOD     $request_method;
fastcgi_param  CONTENT_TYPE       $content_type;
fastcgi_param  CONTENT_LENGTH     $content_length;

fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;
fastcgi_param  SCRIPT_NAME        $uri;
fastcgi_param  REQUEST_URI        $request_uri;
fastcgi_param  DOCUMENT_URI       $document_uri;
fastcgi_param  DOCUMENT_ROOT      $document_root;
fastcgi_param  SERVER_PROTOCOL    $server_protocol;

fastcgi_param  REMOTE_ADDR        $remote_addr;
fastcgi_param  REMOTE_PORT        $remote_port;
fastcgi_param  SERVER_ADDR        $server_addr;
fastcgi_param  SERVER_PORT        $server_port;
fastcgi_param  SERVER_NAME        $server_name;

# PHP only, required if PHP was built with --enable-force-cgi-redirect
fastcgi_param  REDIRECT_STATUS    200;

----------结束----------

新建一个名为:fastcgi.conf,将以上内容保存进去，同时在localtion里面做如下设置：

----------代码源自网络----------

location ~* .*\.php($|/)
{
      if ($request_filename ~* (.*)\.php) {
            set $php_url $1;   #请根据实际情况设置
      }
      if (!-e $php_url.php) {
            return 403;
      }

fastcgi_pass  127.0.0.1:9000;
      fastcgi_index index.php;
      include fcgi.conf;
}

----------结束----------

参考网站：

《nginx文件类型错误解析漏洞》http://www.80sec.com/nginx-securit.html#more-163

《再提供一种解决Nginx文件类型错误解析漏洞的方法》http://zyan.cc/nginx_0day/