ls /proc » Program&Database

Nginx/PHP 文件类型错误解析漏洞：fix_pathinfo

lostsnow — Fri, 21 May 2010 03:34:47 +0000

转载时请标明文章原始出处和作者信息, 作者: lostsnow.
http://www.lsproc.com/blog/nginx_php_pathinfo_securit/

漏洞介绍：nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx服务器。

漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

location ~ \.php$ {
    root html;
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
    include fastcgi_params;
}

的方式支持对php的解析，location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量 SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP 的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.lsproc.com/a.jpg，我们以如下的方式去访问


http://www.lsproc.com/a.jpg/xxx.php

将会得到一个URI

/a.jpg/xxx.php

经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为

/scripts/a.jpg/xxx.php

而在其他的webserver如lighttpd当中，我们发现其中的SCRIPT_FILENAME被正确的设置为

/scripts/a.jpg

所以不存在此问题。
后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为

/scripts/a.jpg和xxx.php

最后，以/scripts/a.jpg作为此次请求需要执行的脚本，攻击者就可以实现让nginx以php来解析任何类型的文件了。

PHP为什么会接受这样的参数, 并且把a.jpg解析呢?
这就要说到PHP的cgi SAPI中的参数, fix_pathinfo了:

; cgi.fix_pathinfo provides *real* PATH_INFO/PATH_TRANSLATED support for CGI. PHP's
; previous behaviour was to set PATH_TRANSLATED to SCRIPT_FILENAME, and to not grok
; what PATH_INFO is. For more information on PATH_INFO, see the cgi specs. Setting
; this to 1 will cause PHP CGI to fix it's paths to conform to the spec. A setting
; of zero causes PHP to behave as before. Default is 1. You should fix your scripts
; to use SCRIPT_FILENAME rather than PATH_TRANSLATED.
cgi.fix_pathinfo=1

如果开启了这个选项, 那么就会触发在PHP中的如下逻辑:

/*
 * if the file doesn't exist, try to extract PATH_INFO out
 * of it by stat'ing back through the '/'
 * this fixes url's like /info.php/test
 */
if (script_path_translated &&
     (script_path_translated_len = strlen(script_path_translated)) > 0 &&
     (script_path_translated[script_path_translated_len-1] == '/' ||
//....以下省略.

到这里, PHP会认为SCRIPT_FILENAME是a.jpg, 而xxx.php是PATH_INFO, 然后PHP就把a.jpg当作一个PHP文件来解释执行… So…

POC：访问一个nginx来支持php的站点，在一个任何资源的文件如robots.txt后面加上/xxx.php，这个时候你可以看到如下的区别：

访问http://www.lsproc.com/robots.txt

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes

访问http://www.lsproc.com/robots.txt/xxx.php

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6

其中的Content-Type的变化说明了后端负责解析的变化，该站点就可能存在漏洞。

漏洞厂商：http://www.nginx.org

解决方案：

1. 修改php.ini中的cgi.fix_pathinfo为0 (即使你在php.ini中没有找到，也要设置，默认为1)
2. 把nginx的判断正则修改为去除/

if ( $fastcgi_script_name ~ \..*\/.*php ) {
    return 403;
}

3. 如果上传的文件类型为图片, 使用 gd/imagemagick 等进行处理后再保存, 原始文件务必删除
4. 上传的文件放到一个静态文件server, 此 server 不允许php 文件执行

本文参考链接

-- EOF --

2010-04-12 -- nginx userid 模块客户端 cookie 解码 (0)
2010-03-08 -- nginx+factcgi 下使用 ob_flush (0)
2009-03-29 -- Nginx SSL 配置 (23)
2008-10-23 -- nginx rewrite 的一些参数 (1)
2008-06-15 -- lighttpd + PHP(fastcgi) 配置 (0)

复制到剪切板 - 兼容 ie, firefox, chrome & flash10

lostsnow — Tue, 13 Apr 2010 06:48:44 +0000

转载时请标明文章原始出处和作者信息, 作者: lostsnow.
http://www.lsproc.com/blog/copy_to_clipboard/

从 discuz! 里扒出来的(简易实现), 代码如下:

var clipboardswfdata;

var setcopy_gettext = function(){
    clipboardswfdata = document.getElementById('data').value;
    window.document.clipboardswf.SetVariable('str', clipboardswfdata);
}

var floatwin = function(){
    alert('copy success, ' + clipboardswfdata);
}



点此复制到剪贴板

实现稍微有些恶心, 用 onmouseover 事件往 flash 中传递数据
另: 没有对ie单独处理, ie中推荐使用 window.clipboardData

演示地址: http://www.lsproc.com/demo/cliboard/demo.html
演示代码下载: http://www.lsproc.com/wiki/_media/snippets:clipboard.zip

另: google code 上有个 zeroclipboard 的项目, 如果想要方便的话, 也可以使用
地址: http://code.google.com/p/zeroclipboard/

-- EOF --

2009-01-08 -- Ajax 提交数据加号与连接符丢失 (0)
2008-01-23 -- Js控制输入字符数限制 (0)
2008-01-12 -- 自动等比例缩放网页中的图片 (0)
2007-05-13 -- HTML or XHTML, 关于web标准 (0)
2006-03-01 -- 使用DIV之后,什么时候使用TABLE? (1)

nginx userid 模块客户端 cookie 解码

lostsnow — Mon, 12 Apr 2010 01:59:32 +0000

转载时请标明文章原始出处和作者信息, 作者: lostsnow.
http://www.lsproc.com/blog/nginx_userid_decode/

在网上看到用 ruby 解码的一段程序
http://forum.nginx.org/read.php?2,52592,52592

> cookie_uid = "0Cvz4ktwVPEdbRcMAwMFAg=="; cc = cookie_uid.unpack('m*').first; rr = cc.split("").map{|c| c[0].to_i}.inject([]) {|v,s| v.push sprintf("%02X", s); v; }.values_at(3, 2, 1, 0, 7, 6, 5, 4, 11, 10, 9, 8, 15, 14, 13, 12).join("")
=> "E2F32BD0F154704B0C176D1D02050303"

我用 PHP 写了一个


update:

如果 base64 后的编码中含有 '+' , 在 url 传递中或是 $_COOKIE 数组读取中会被转换为空格

-- EOF --
Related Posts
2010-05-21 -- Nginx/PHP 文件类型错误解析漏洞：fix_pathinfo (2)
2010-03-08 -- nginx+factcgi 下使用 ob_flush (0)
2009-03-29 -- Nginx SSL 配置 (23)
2008-10-23 -- nginx rewrite 的一些参数   (1)
2008-06-15 -- lighttpd + PHP(fastcgi) 配置 (0)

python 抓取页面

lostsnow — Mon, 01 Feb 2010 06:34:31 +0000

转载时请标明文章原始出处和作者信息, 作者: lostsnow.
http://www.lsproc.com/blog/python_spider/

#coding=utf-8

import sys
import urllib2
import gzip
import StringIO

# 页面url
url = "http://china.toocle.com/company/show/pdetail--1000436--10532651.html"
# 页面编码
page_encode = "gbk"

request = urllib2.Request(url)
request.add_header("Accept-encoding", "gzip")
usock = urllib2.urlopen(request)
page = usock.read()
# 处理gzip过的页面
if usock.headers.get('content-encoding', None) == 'gzip':
    page = gzip.GzipFile(fileobj=StringIO.StringIO(page)).read()

# 转unicode(gbk/utf8)
if not isinstance(page, unicode):
    page = unicode(page, page_encode)

print(page)

-- EOF --

2008-11-10 -- python图形处理库Python Imaging Library (PIL) (0)
2008-11-05 -- Dreamhost 上编译python并安装django (7)

Ajax 提交数据加号与连接符丢失

lostsnow — Thu, 08 Jan 2009 03:09:48 +0000

转载时请标明文章原始出处和作者信息, 作者: lostsnow.
http://www.lsproc.com/blog/ajax_char_lose/

采用Ajax传递数据时，通常会将数据整理为data="var1=abc&var2=def"。而当数据中存在加号(+)或是连接符(&)时，服务器端接收数据时会有部分数据丢失现象。分析一下Ajax传递数据的格式与Javascript的语法不难发现：

1. "+"号：JavaScript解析为字符串连接符，所以服务器端接收数据时"+"会丢失。

2. "&"：JavaScript解析为变量连接符，所以服务器端接收数据时&符号以后的数据都会丢失。

解决办法也相当简单，只需要为+与&符号编码即可：

function vchar(str) {
    str = str.replace(/\+/g, "%2B");
    str = str.replace(/\&/g, "%26");
    return str;
}
var1 = "abc+kef";
var2 = "abc&kef";   

var1 = vchar(var1);
var2 = vchar(var2);   

alert(var1);
alert(var2);

使用jquery的话可以使用如下方式提交

var params = $('input, textarea').serialize();
$.ajax({
    type: 'post',
    url: 'xxxx.php',
    data: params,
    success: function(response){
        ......
    }
});

参考: http://www.phplamp.org/2008/11/javascript-ajax-char-lose/

-- EOF --

2010-04-13 -- 复制到剪切板 – 兼容 ie, firefox, chrome & flash10 (5)
2008-01-23 -- Js控制输入字符数限制 (0)
2008-01-12 -- 自动等比例缩放网页中的图片 (0)

python图形处理库Python Imaging Library (PIL)

lostsnow — Mon, 10 Nov 2008 08:03:10 +0000

转载时请标明文章原始出处和作者信息, 作者: lostsnow.
http://www.lsproc.com/blog/python_pil/

pil站点: http://www.pythonware.com/products/pil/index.htm
pil下载: http://effbot.org/downloads/Imaging-1.1.6.tar.gz
pil文档: http://www.pythonware.com/library/pil/handbook/index.htm
　　
[安装]

$ tar zxvf Imaging-1.1.6.tar.gz
$ cd Imaging-1.1.6
$ python setup.py build_ext -i
$ python selftest.py
$ python setup.py install

安装完毕后,可在python安装目录下的site-packages找到PIL安装目录。

-- EOF --

2010-02-01 -- python 抓取页面 (0)
2008-11-05 -- Dreamhost 上编译python并安装django (7)

ZendFramework 使用数据表前缀

lostsnow — Thu, 17 Jan 2008 15:07:15 +0000

转载时请标明文章原始出处和作者信息, 作者: lostsnow.
http://www.lsproc.com/blog/use_dbprefix_in_zendframework/

目录结构

在 config.ini 定义 prefix

[general]
adapter  = PDO_MYSQL
host     = localhost
username = root
password = 123456
dbname   = test
charset  = utf8
prefix   = pf_    //表前缀

index.php 中将 prefix 注册

// 读取数据库配置
$dbconfig = new Zend_Config_Ini('../config/config.ini', 'general');
// 配置数据库
$database = Zend_Db::factory($dbconfig->adapter,$dbconfig->toArray());
// 设置数据库编码
$database->query("set names {$dbconfig->charset};");
Zend_Db_Table::setDefaultAdapter($database);
Zend_Registry::set('database',$database);
// 数据表前缀
Zend_Registry::set('dbprefix',$dbconfig->prefix);

在 library/Custom 目录下新建文件 Db.php 继承 Zend_Db_Table 类

class Custom_Db extends Zend_Db_Table
{
    public function __construct()
    {
        $dbprefix = Zend_Registry::get('dbprefix');
        $this->_name = $dbprefix.$this->_name;
        parent::__construct();
    }
}

最后在 model 中继承 Custom_Db 即可

class User extends Custom_Db
{
    protected $_name = 'users';     //在Custom_Db中会自动加上表名的前缀
    protected $_primary = 'userid'; //主键
}

-- EOF --

2010-05-21 -- Nginx/PHP 文件类型错误解析漏洞：fix_pathinfo (2)
2010-04-12 -- nginx userid 模块客户端 cookie 解码 (0)
2010-03-08 -- nginx+factcgi 下使用 ob_flush (0)
2008-06-15 -- lighttpd + PHP(fastcgi) 配置 (0)
2008-03-18 -- lamp 相关配置 [Debian] (2)

为wordpress添加coolcode插件的quicktag

lostsnow — Sat, 12 Jan 2008 17:39:52 +0000

转载时请标明文章原始出处和作者信息, 作者: lostsnow.
http://www.lsproc.com/blog/add_coolcode_quicktag_for_wordpress/

修改 wp-includes/js/quicktags.js 文件

1. 找到

edButtons[edButtons.length] =
new edButton('ed_code'
,'code'
,''
,''
,'c'
);

在后面添加

edButtons[edButtons.length] =
new edButton('ed_coolcode'
,'coolcode'
,''
,''
,'x'
);

2. 找到

	else if (button.id == 'ed_link') {
		document.write('');
	}

在后面添加

    else if (button.id == 'ed_coolcode') {
		document.write('');
	}

3. 在文件末尾添加

function edInsertCoolcode(myField, i, defaultLang, defaultLine) {
    if (!defaultLang) {
		defaultLang = 'php';
	}
    if (!defaultLine) {
		defaultLine = 'off';
	}
    if (!edCheckOpenTags(i)) {
        var codeLang = prompt('输入需要加亮的程序语言', defaultLang);
        var codeLine = prompt('是否显示行号(on, off)', defaultLine);
        edButtons[i].tagStart = '<' + 'coolcode';
        if (codeLang) {
            edButtons[i].tagStart = edButtons[i].tagStart + ' lang="'
                                    + codeLang + '"'
        }
        if (codeLine) {
            edButtons[i].tagStart = edButtons[i].tagStart + ' linenum="'
                                    + codeLine + '"';
        }
        edButtons[i].tagStart = edButtons[i].tagStart + '>';
        edInsertTag(myField, i);
    }
    else {
		edInsertTag(myField, i);
	}
}

-- EOF --

2007-04-05 -- 博客世界最受欢迎的30个插件 (0)
2007-05-16 -- WordPress 2.2 final (0)
2007-03-18 -- wordpress 快捷键 (2)
2006-12-27 -- 再谈Wordpress的MySQL乱码问题解决方法 (3)
2006-07-03 -- Mysql4.1编码详解及WordPress编码完善 (1)

Cakephp 笔记

lostsnow — Mon, 12 Nov 2007 17:31:06 +0000

转载时请标明文章原始出处和作者信息, 作者: lostsnow.
http://www.lsproc.com/blog/cakephp_note/

1. 自定义 layout

在 cakephp 中 layout 默认指向 /app/views/layouts/default.thtml
如果要自定义 layout，需要在 controller 中定义：
var $layout = 'mydefault';
layout 则指向了 /app/views/layouts/mydefault.thtml

2. 创建不使用数据库表的 model 或者改变 model 对应的表名

我需要创建一个不使用任何表的model。例如，我想通过 $validate 数组方便底验证输入数据，保持model逻辑的正确性。但创建 model 时对应的表不存在，CakePHP 就会报错。通过在 model 中加入以下代码可以解决这个问题：

var $useTable = false;

你也可以通过这种方法改变model对应的表名。

var $useTable = 'some_table';

3. 快速创建后台管理

如果你需要创建后台管理程序，并且希望所有管理action都位于某个特定文件夹下，那么打开 config/core.php 并将下面这一行的注释去掉：

define('CAKE_ADMIN', 'admin');

这样所有以"admin_"开头的action都可以通过 /admin/yourcontroller/youraction 来访问。例如，如果在 posts controller 中创建了名为 "admin_add" 的 action，那么可以通过 www.example.com/admin/posts/add 访问这个action。这样就可以方便地为 admin 目录设置密码以避免他人随意访问。

4. 自定义404页面

如果你需要自定义404页面，只需创建 /app/views/errors/error404.thtml。

5. 让controller使用其他model

如果你的controller需要调用来自不同model的数据，只要在controller开头使用如下代码：

class yourController extends AppController { var $uses = array('Post','User'); }

这样controller就能访问Post和User model了。

-- EOF --

2007-11-13 -- Cakephp 的回调函数 (0)
2007-11-09 -- Zend 框架摘要 (0)
2007-10-31 -- CakePHP 命名规则 (1)
2007-09-07 -- PHP 和 Mysql 学习笔记（四） (0)
2007-06-22 -- PHP 和 Mysql 学习笔记（二） (0)

Cakephp 的回调函数

lostsnow — Mon, 12 Nov 2007 17:20:05 +0000

转载时请标明文章原始出处和作者信息, 作者: lostsnow.
http://www.lsproc.com/blog/cakephp_callback_function/

Model的Callbacks

我们在model中增加了一些回调函数以帮助你在model操作前后能够织入一些业务逻辑（原文为sneak in，借用了AOP中的织入一词，因为从操作来看这些回调函数等同于AOP中的advice）。为了获得这样的能力，需要使用model中的一些参数并且在你的model中覆写这些方法。

beforeFind(string $conditions)

beforeFind()回调函数是在model的find方法执行前的前置操作。你可以加入任何检索前的业务逻辑。你覆写该方法只要保证在前置操作成功后返回true来执行真正的find方法，返回false中断find方法就可以了。（译注：在一些复杂场景中，需多次持久化的情况下请慎用）。

afterFind(array $results)

使用afterFind回调函数能够更改find方法的返回结果集，或者在检索动作完成后加上一些业务逻辑。该函数的参数$results为经过回调函数处理以后的find检索结果集。

beforeValidate()
beforeValidate回调函数能够在model校验数据之前更改model中的一些数据。同样也可以用来在model校验之前加入更为复杂的额外校验规则。和beforeFind一样，必须保证返回true来调用真正的操作，返回false来中断校验乃至save操作。

beforeSave()

和先前介绍的回调函数类似，在校验完成之后，保存动作之前加入额外的处理（如果校验失败是不会触发该回调函数的）。返回true或者false，不再赘述。
一个比较常见的beforeSave的应用场景就是在保存动作之前格式化日期属性以适应不同的数据库：

// Date/time fields created by HTML Helper:
// This code would be seen in a view 

$html->dayOptionTag('Event/start');
$html->monthOptionTag('Event/start');
$html->yearOptionTag('Event/start');
$html->hourOptionTag('Event/start');
$html->minuteOptionTag('Event/start'); 

/*=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-*/ 

// Model callback functions used to stitch date
// data together for storage
// This code would be seen in the Event model: 

function beforeSave()
{
    $this->data['Event']['start'] = $this->_getDate('Event', 'start'); 

    return true;
} 

function _getDate($model, $field)
{
    return date('Y-m-d H:i:s', mktime(
        intval($this->data[$model][$field . '_hour']),
        intval($this->data[$model][$field . '_min']),
        null,
        intval($this->data[$model][$field . '_month']),
        intval($this->data[$model][$field . '_day']),
        intval($this->data[$model][$field . '_year'])));
}

afterSave()

放置任何你想要在保存后执行的代码在这个回调函数中。[ToDo 如果保存出错是否会触发？]

beforeDelete()

放置删除前的逻辑代码。想要删除操作执行则返回true，否则返回false。

afterDelete()

放置任何你想要在删除后执行的代码在这个回调函数中。

controller中的回调函数

Cake的controller特别提供了许多回调方法，你可以用它们在一些重要的controller方法之前或者之后插入一些逻辑。如果要利用这些功能，请在你的controller中用这里描述的参数和返回值定义这些方法。

beforeFilter

在每个controller action调用前执行。它是一个检查当前sessoin状态和检查用户角色的好地方。

afterFilter

在每个controller action调用后执行。

beforeRender

在controller逻辑之后，并且在输出视图之前被调用。

-- EOF --

2007-11-13 -- Cakephp 笔记 (0)
2007-10-31 -- CakePHP 命名规则 (1)
2010-05-21 -- Nginx/PHP 文件类型错误解析漏洞：fix_pathinfo (2)
2010-04-12 -- nginx userid 模块客户端 cookie 解码 (0)
2010-03-08 -- nginx+factcgi 下使用 ob_flush (0)