phpfpm在nginx特定环境下的任意代码执行漏洞（CVE201911043）

安全库&＃xff1a;http://www.seclibs.com/
网络安全爱好者的安全导航&＃xff0c;专注收集信安、红队常用网站、工具和技术博客

目录

0x01 漏洞介绍

0x02 漏洞影响

0x03 漏洞复现

0x01 漏洞介绍

在长亭科技举办的 Real World CTF 中&＃xff0c;国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现&＃xff0c;向目标服务器 URL 发送
符号时&＃xff0c;服务返回异常&＃xff0c;疑似存在漏洞。

在nginx上&＃xff0c;fastcgi_split_path_info处理带有的请求时&＃xff0c;会因为遇到换行符\n&＃xff0c;导致PATH_INFO为空&＃xff0c;而在php-fpm对PATH_INFO进行处理时&＃xff0c;对其值为空时的处理存在逻辑问题&＃xff0c;从而导致远程代码执行漏洞

在fpm_main.c文件的第1150行代码可以很明显的看出来&＃xff0c;问题的所在

https://github.com/php/php-src/blob/master/sapi/fpm/fpm/fpm_main.c#L1150


0x02 漏洞影响

服务器环境为nginx php-fpm&＃xff0c;并且nginx的配置像下面这样

location ~ [^/]\.php(/|$) {...fastcgi_split_path_info ^(. ?\.php)(/.*)$;fastcgi_param PATH_INFO $fastcgi_path_info;fastcgi_pass php:9000;...
}


另外&＃xff0c;PHP 5.6版本也受此漏洞影响&＃xff0c;但目前只能 Crash&＃xff0c;不可以远程代码执行&＃xff1a;

PHP 7.0 版本
PHP 7.1 版本
PHP 7.2 版本
PHP 7.3 版本


如果使用了nginx官方提供的默认配置&＃xff0c;将会收到影响

https://www.nginx.com/resources/wiki/start/topics/examples/phpfcgi/


0x03 漏洞复现

在vulhub上已经有了可以利用的漏洞环境&＃xff0c;直接pull下来进行复现即可

使用的exp是国外研究员的go版本的

https://github.com/neex/phuip-fpizdam


自己去pull环境就可以了

完后就是复现操作

访问http://your-ip:8080/index.php

然后我们使用vulhub中使用的go版本的exp

先安装golang环境

然后将exp部署到本地并利用

成功利用

这里还需要注意一下&＃xff0c;由于只有部分php-fpm子进程受到了污染&＃xff0c;所以请多执行几次命令

文章首发公众号&＃xff1a;无心的梦呓(wuxinmengyi)

这是一个记录红队学习、信安笔记&＃xff0c;个人成长的公众号

扫码关注即可