0x00 简介
9 月 26 日,PHP 官方发布漏洞通告,其中指出:使用 Nginx php-fpm 的服务器,在部分配置下,存在远程代码执行漏洞。并且该配置已被广泛使用,危害较大。
0x01 漏洞概述
Nginx 上 fastcgi_split_path_info 在处理带有 的请求时,会因为遇到换行符 n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO 为空的情况下,存在逻辑缺陷。攻击者通过精心的构造和利用,可以导致远程代码执行。
0x02 影响版本
代码语言:javascript复制 location ~ [^/].php(/|$) {
···
fastcgi_split_path_info ^(. ?.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}
}不可以远程代码执行:PHP 7.0/7.1/7.2/7.3
0x03 环境搭建
自行搭建:
直接vulhub一键搭建(更新真快)
代码语言:javascript复制git clone https://github.com/vulhub/vulhub/tree/master/php/CVE-2019-11043
cd vulhub/php/CVE-2019-11043启动有漏洞的Nginx和PHP:
代码语言:javascript复制docker-compose up -d环境启动后,访问http://ip:8080/index.php即可查看到一个默认页面。
0x04 漏洞利用
下载POC:
代码语言:javascript复制git clone https://github.com/neex/phuip-fpizdam注:需要安装go语言环境
https://www.runoob.com/go/go-environment.html
进入下载poc文件夹,执行 go build 进行编译
如果编译失败,显示timeout,则需要设置代理,执行以下语句添加环境变量
代码语言:javascript复制export GOPROXY=https://goproxy.io使用phuip-fpizdam编译好的工具,发送数据包:
这里已经执行成功了
访问http://ip:8080/index.php?a=whoami即可查看到命令已成功执行
注意,因为php-fpm会启动多个子进程,在访问/index.php?a=id时需要多访问几次,以访问到被污染的进程。
0x05 修复方式
在不影响正常业务的情况下,删除 Nginx 配置文件中的如下配置:
fastcgi_split_path_info ^(. ?.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
漏洞补丁:
代码语言:javascript复制https://bugs.php.net/patch-display.php?bug_id=78599&patch=0001-Fix-bug-78599-env_path_info-underflow-can-lead-to-RC.patch&revision=latestPOC:
https://github.com/neex/phuip-fpizdam
参考链接:
https://github.com/vulhub/vulhub/tree/master/php/CVE-2019-11043
https://bugs.php.net/bug.php?id=78599
