0x01:漏洞概述
9月26日,PHP官方发布漏洞通告,提到Nginx与php-fpm服务器上存在的一处高危漏洞,由于Nginx的fastcgi_split_path_info模块在处理带 的请求时,对换行符 n 处置不当使得将PATH_INFO值置为空,从而导致可以通过FCGI_PUTENV与PHP_VALUE相结合,修改当前的php-fpm进程中的php配置。在特殊构造的配置生效的情况下可以触发任意代码执行。目前开源社区已有漏洞Poc公开。
漏洞信息
漏洞名称 PHP-FPM在Nginx特定配置下远程代码执行
CVE编号CVE-2019-11043
CNVD编号 -
影响版本 参考影响范围
威胁等级 高危
公开时间 2019年9月26日
影响范围
Nginx php-fpm 的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞。
代码语言:javascript复制location ~ [^/].php(/|$) {
fastcgi_split_path_info ^(. ?.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
}
}
0x02,环境准备
环境下载:
https://github.com/vulhub/vulhub/tree/master/php/CVE-2019-11043
启动环境
mkdir Andrew
cd Andrew
docker-compose up –d
docker ps
进入nginx中,创建文件
Docker exec –it f2e659d78e37 /bin/bash
访问地址http://192.168.157.128:8080/index.php
0x03,漏洞复现
下载 phuip-fpizdam,编译
https://github.com/neex/phuip-fpizdam
kali安装go教程:https://studygolang.com/articles/11279
漏洞攻击(这里我用的编译好的)
在浏览器中访问:http://192.168.157.128:8080/index.php?a=id
也可进行无害的漏洞检测,命令如下:
phuip-fpizdam http://192.168.157.128:8080/index.php--skip-attack
0x04,漏洞分析
PHP-FPM(PHP FastCGI Process Manager)意:PHP FastCGI进程管理器,用于管理PHP 进程池的软件,用于接受web服务器的请求。
nginx与php-fpm结合的处理流程
打开php-fpm.conf文件,我们看到如下配置:
即:php-fpm模块监听127.0.0.1:9000端口,等待请求到来去处理。
处理过程:
漏洞触发点
因为“fpm_main.c”文件的第1150行代码中由于n( )的传入导致nginx传递给php-fpm的PATH_INFO为空。
https://github.com/php/php-src/blob/master/sapi/fpm/fpm/fpm_main.c#L1150
进而导致可以通过FCGI_PUTENV与PHP_VALUE相结合,修改当前的php-fpm进程中的php配置。在特殊构造的配置生效的情况下可以触发任意代码执行。
此漏洞利用的先决条件:
1. php需要开启FPM模块,该模块在php虽然在PHP5.3.3之后已经加入php核心代码但是的PHP的发行版默认不安装php-fpm模块,所有默认的用户不受影响;要想php支持php-fpm,只需要在编译php源码的时候带上--enable-fpm;
2. 需要修改/nginx/conf/nginx.conf配置;
0x05,修复意见
- 修改nginx配置文件中fastcgi_split_path_info的正则表达式,不允许.php之后传入不可显字符。
- 暂停使用nginx php-fpm 服务
- 根据自己实际生产环境的业务需求,将以下配置删除
fastcgi_split_path_info ^(. ?.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;