1. 漏洞描述

Nginx在反向代理站点的时候，通常会将一些文件进行缓存，特别是静态文件。缓存的部分存储在文件中，每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件，则Nginx会直接将该文件中的“HTTP返回包体”返回给用户。

如果我的请求中包含Range头，Nginx将会根据我指定的start和end位置，返回指定长度的内容。而如果我构造了两个负的位置，如(-600, -9223372036854774591)，将可能读取到负位置的数据。如果这次请求又命中了缓存文件，则可能就可以读取到缓存文件中位于“HTTP返回包体”前的“文件头”、“HTTP返回包头”等内容。

2. 影响版本

Nginx version 0.5.6 - 1.13.2

3. 环境搭建

git clone https://github.com/vulhub/vulhub.git
cd vulhub/nginx/CVE-2017-7529
docker-compose up -d

渗透测试常见的几个阶段

• 定义范围（Defining the Scope）
• 信息收集（Information Gathering）
• 脆弱点监测（Vulnerability Detection）
• 初始立足点（Initial Foothold）
• 特权升级（Privilege Escalation）
• 横向运动（Lateral Movement）
• 报告/分析（Reporting/Analysis）
• 经验教训/补救（Lessons Learned/Remediation）