Nginx менен кээ бир серверлер 2018-жылы Blackhat конференциясында сунушталган Nginx Alias Traversal техникасына алсыз бойдон калууда жана "лакап ат" директивасында көрсөтүлгөн түпкү каталогдон тышкары жайгашкан файлдарга жана каталогдорго кирүүгө мүмкүндүк берет. Көйгөй "локация" блогунун ичине жайгаштырылган "лакап ат" директивасы бар конфигурацияларда гана пайда болот, анын параметри "/" белгиси менен бүтпөйт, ал эми "лакап ат" "/" менен аяктайт.
Көйгөйдүн маңызы псевдонимдүү директивалуу блоктордун файлдары суралган жолду тиркөө жолу менен, аны жайгашкан жер директивинен маска менен далдаштыруу жана бул маскада көрсөтүлгөн жолдун бөлүгүн кесип алуу менен берилет. Жогоруда көрсөтүлгөн аялуу конфигурациянын мисалы үчүн, чабуулчу "/img../test.txt" файлын сурай алат жана бул сурам "/img" жайгашкан жерде көрсөтүлгөн маскага дал келет, андан кийин калган "../" test.txt" "/var/images/" лакап ат директивинен жолго тиркелет жана натыйжада "/var/images/../test.txt" файлы суралат. Ошентип, чабуулчулар "/var/images/" ичиндеги файлдарга эле эмес, "/var" каталогундагы каалаган файлдарга кире алышат, мисалы, nginx журналын жүктөп алуу үчүн, "/img../log/ сурамын жөнөтө аласыз. nginx/ access.log".
Каймана ат директивасынын мааниси "/" белгиси менен бүтпөгөн конфигурацияларда (мисалы, "алиas /var/images;"), чабуулчу негизги каталогго өзгөрө албайт, бирок /var ичинде башка каталогду сурай алат. аты конфигурацияда көрсөтүлгөн менен башталат. Мисалы, "/img.old/test.txt" суроо менен сиз "var/images.old/test.txt" каталогуна кире аласыз.
GitHub репозиторийлерин талдоо көрсөткөндөй, nginx конфигурациясында көйгөйгө алып келген каталар дагы деле реалдуу долбоорлордо кездешет. Мисалы, Bitwarden сырсөз башкаргычынын арткы бөлүгүндө көйгөйдүн бар экендиги аныкталды жана аны /etc/bitwarden каталогундагы бардык файлдарга жетүү үчүн колдонсо болот (/тиркемелерге суроо /etc/bitwarden/attachments/ дарегинен берилген), анын ичинде "vault. db", сертификат жана журналдар менен сакталган маалымат базасы, алар үчүн сурамдарды жөнөтүү жетиштүү болгон "/attachments../vault.db", "/attachments../identity.pfx", "/attachments ../logs/api.log" ж.б. .П.
Метод Google HPC Toolkit менен да иштеген, мында /статикалык суроо-талаптар "../hpc-toolkit/community/front-end/website/static/" каталогуна багытталды. Жеке ачкычы жана эсептик дайындары бар маалымат базасын алуу үчүн чабуулчу "/static../.secret_key" жана "/static../db.sqlite3" сурамдарын жөнөтө алат.
Source: opennet.ru