溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

php-fpm如何在nginx特定環(huán)境下的任意代碼執(zhí)行漏洞

發(fā)布時間:2021-10-11 11:02:47 來源:億速云 閱讀:128 作者:柒染 欄目:大數(shù)據(jù)

這篇文章給大家介紹php-fpm如何在nginx特定環(huán)境下的任意代碼執(zhí)行漏洞,內(nèi)容非常詳細(xì),感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。

0x01 漏洞介紹

在長亭科技舉辦的 Real World CTF 中,國外安全研究員 Andrew Danau 在解決一道 CTF 題目時發(fā)現(xiàn),向目標(biāo)服務(wù)器 URL 發(fā)送%0a符號時,服務(wù)返回異常,疑似存在漏洞。

在nginx上,fastcgi_split_path_info處理帶有%0a的請求時,會因?yàn)橛龅綋Q行符\n,導(dǎo)致PATH_INFO為空,而在php-fpm對PATH_INFO進(jìn)行處理時,對其值為空時的處理存在邏輯問題,從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞

在fpm_main.c文件的第1150行代碼可以很明顯的看出來,問題的所在

https://github.com/php/php-src/blob/master/sapi/fpm/fpm/fpm_main.c#L1150

php-fpm如何在nginx特定環(huán)境下的任意代碼執(zhí)行漏洞

0x02 漏洞影響

服務(wù)器環(huán)境為nginx + php-fpm,并且nginx的配置像下面這樣

location ~ [^/]\.php(/|$) {  ... fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_param PATH_INFO      $fastcgi_path_info; fastcgi_pass   php:9000;  ...}

另外,PHP 5.6版本也受此漏洞影響,但目前只能 Crash,不可以遠(yuǎn)程代碼執(zhí)行:

PHP 7.0 版本PHP 7.1 版本PHP 7.2 版本PHP 7.3 版本

如果使用了nginx官方提供的默認(rèn)配置,將會收到影響

https://www.nginx.com/resources/wiki/start/topics/examples/phpfcgi/

php-fpm如何在nginx特定環(huán)境下的任意代碼執(zhí)行漏洞

0x03 漏洞復(fù)現(xiàn)

在vulhub上已經(jīng)有了可以利用的漏洞環(huán)境,直接pull下來進(jìn)行復(fù)現(xiàn)即可

使用的exp是國外研究員的go版本的

https://github.com/neex/phuip-fpizdam

自己去pull環(huán)境就可以了

php-fpm如何在nginx特定環(huán)境下的任意代碼執(zhí)行漏洞

完后就是復(fù)現(xiàn)操作

訪問http://your-ip:8080/index.php

php-fpm如何在nginx特定環(huán)境下的任意代碼執(zhí)行漏洞

然后將exp部署到本地并利用

php-fpm如何在nginx特定環(huán)境下的任意代碼執(zhí)行漏洞

成功利用

php-fpm如何在nginx特定環(huán)境下的任意代碼執(zhí)行漏洞

這里還需要注意一下,由于只有部分php-fpm子進(jìn)程受到了污染,所以請多執(zhí)行幾次命令

關(guān)于php-fpm如何在nginx特定環(huán)境下的任意代碼執(zhí)行漏洞就分享到這里了,希望以上內(nèi)容可以對大家有一定的幫助,可以學(xué)到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI