CVE-2019-11043PHP-FPM在Nginx特定配置下远程代码执行漏洞复现

2019-10-30 14:41:42 浏览数 (1)

0x01:漏洞概述

9月26日,PHP官方发布漏洞通告,提到Nginx与php-fpm服务器上存在的一处高危漏洞,由于Nginx的fastcgi_split_path_info模块在处理带 的请求时,对换行符 n 处置不当使得将PATH_INFO值置为空,从而导致可以通过FCGI_PUTENV与PHP_VALUE相结合,修改当前的php-fpm进程中的php配置。在特殊构造的配置生效的情况下可以触发任意代码执行。目前开源社区已有漏洞Poc公开。

漏洞信息

漏洞名称 PHP-FPM在Nginx特定配置下远程代码执行

CVE编号CVE-2019-11043

CNVD编号 -

影响版本 参考影响范围

威胁等级 高危

公开时间 2019年9月26日

影响范围

Nginx php-fpm 的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞。

代码语言:javascript复制
location ~ [^/].php(/|$) {
   fastcgi_split_path_info ^(. ?.php)(/.*)$;
   fastcgi_param PATH_INFO      $fastcgi_path_info;
   fastcgi_pass   php:9000;
  }
}

0x02,环境准备

环境下载:

https://github.com/vulhub/vulhub/tree/master/php/CVE-2019-11043

启动环境

mkdir Andrew

cd Andrew

docker-compose up –d

docker ps

进入nginx中,创建文件

Docker exec –it f2e659d78e37 /bin/bash

访问地址http://192.168.157.128:8080/index.php

0x03,漏洞复现

下载 phuip-fpizdam,编译

https://github.com/neex/phuip-fpizdam

kali安装go教程:https://studygolang.com/articles/11279

漏洞攻击(这里我用的编译好的)

在浏览器中访问:http://192.168.157.128:8080/index.php?a=id

也可进行无害的漏洞检测,命令如下:

phuip-fpizdam http://192.168.157.128:8080/index.php--skip-attack

0x04,漏洞分析

PHP-FPM(PHP FastCGI Process Manager)意:PHP FastCGI进程管理器,用于管理PHP 进程池的软件,用于接受web服务器的请求。

nginx与php-fpm结合的处理流程

打开php-fpm.conf文件,我们看到如下配置:

即:php-fpm模块监听127.0.0.1:9000端口,等待请求到来去处理。

处理过程:

漏洞触发点

因为“fpm_main.c”文件的第1150行代码中由于n( )的传入导致nginx传递给php-fpm的PATH_INFO为空。

https://github.com/php/php-src/blob/master/sapi/fpm/fpm/fpm_main.c#L1150

进而导致可以通过FCGI_PUTENV与PHP_VALUE相结合,修改当前的php-fpm进程中的php配置。在特殊构造的配置生效的情况下可以触发任意代码执行。

此漏洞利用的先决条件:

1. php需要开启FPM模块,该模块在php虽然在PHP5.3.3之后已经加入php核心代码但是的PHP的发行版默认不安装php-fpm模块,所有默认的用户不受影响;要想php支持php-fpm,只需要在编译php源码的时候带上--enable-fpm;

2. 需要修改/nginx/conf/nginx.conf配置;

0x05,修复意见

  • 修改nginx配置文件中fastcgi_split_path_info的正则表达式,不允许.php之后传入不可显字符。
  • 暂停使用nginx php-fpm 服务
  • 根据自己实际生产环境的业务需求,将以下配置删除

fastcgi_split_path_info ^(. ?.php)(/.*)$;

fastcgi_param PATH_INFO $fastcgi_path_info;

0 人点赞