PHP-FPM RCE(CVE-2019-11043)

最新推荐文章于 2023-04-27 23:21:54 发布
最新推荐文章于 2023-04-27 23:21:54 发布
阅读量427 收藏
点赞数
分类专栏: Security 文章标签: 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_39086634/article/details/109046607
版权
  1. 漏洞简介
    1. 漏洞描述

Nginx + php-fpm部分配置下存在的远程代码执行高危漏洞,攻击者可利用该漏洞对目标网站进行远程代码执行攻击

    1. 影响范围

漏洞影响的版本:

PHP 5.6-7.x,Nginx>=0.7.31

    1. 漏洞原理

Nginx与 php-fpm 服务器上存在远程代码执行漏洞,由于Nginx的fastcgi_split_path_info模块在处理带%0a的请求时,对换行符 \n 处置不当使得将 PATH_INFO 值置为空,从而导致 php-fpm 在处理 PATH_INFO 时存在漏洞,攻击者通过精心的构造和利用,可以导致远程代码执行

    1. 环境搭建

利用docker生成漏洞环境

在vulub/php/CVE-2019-11043的路径下执行docker-compose up -d生成漏洞环境

 

然后,在浏览器中打开http://ip:8080/index.php,就可以看到如下图所示,环境搭建成功。

 

  1. 漏洞分析

当url路径中存在%0a时会将URL截断:http://ip/index.php/123%0atest.php,并且Nginx处理url的正则有个bug,在解析的时候会把path_info置空;

这种结果会导致PATH_INFO为空——>env_path_info为空——>pilen为0且slen可控——>path_info下溢漏洞验证;

在path_info下溢之后,执行了path_info[0] = 0;,向下溢的地址写了一字节的0,这就造成了可控地址写0的能力;

接下来,通过这一字节写0能够达到写环境变量的目的,需要将一字节写0的应用到能够修改fcgi_data_seg的低位,达到向fcgi_hash_buckets写环境变量的进一步操作,可以通过覆盖写入与PHP_VALUE相同HASH的另一个键:HTTP_EBUT;

然后使用环境变量写入链输出内容到日志文件,然后包含日志文件进行代码执行,最终个RCE。

    1. 基础知识

PHP-FPM(FastCGI Process ManagerFastCGI进程管理器)是一个PHPFastCGI管理器,对于PHP 5.3.3之前的php来说,是一个补丁包 [1]  ,旨在将FastCGI进程管理整合进PHP包中。

    1. 开始验证

执行php-frm的exp脚本,输入URL,然后浏览器中输入构造的URL地址,就会执行相对应的命令:

 

 

 

复现成功

  1. 漏洞总结及防御方案

结:

利用该漏洞,恶意攻击者可以构造攻击请求进行远程代码执行

防御方案:

如果配置文件有fastcgi_split_path_info,就加上if(!-f $document_root$fastcgi_script_name){return 404;},

如果没有,则无需修改

Darklord.W
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2019-11043:php-fpm + Nginx RCE
03-08
CVE-2019-11043 php-fpm + Nginx RCE 0x01安装phuip-fpizdam-Mac go get github.com/neex/phuip-fpizdam go install github.com/neex/phuip-fpizdam ale@Pentest ~/go go get github.com/neex/phuip-fpizdam ale@Pentest ~/go go install github.com/neex/phuip-fpizdam ale@Pentest ~/go ls bin src ale@Pentest ~/go cd bin ale@Pentest ~/go/bin ls phuip-fpizdam ale@Pentest ~/go/bin file phuip-fpizdam phuip-fpizdam: Mac
php-FPM 基于fastcgi协议的rce漏洞复现 CVE-2019-11043
Shanfenglan's blog
11-16 5014
文章目录参考文章 参考文章 PHP-FPM Fastcgi 未授权访问漏洞 PHP-FPM Fastcgi 未授权访问漏洞
PHP-FPM远程命令执行 CVE-2019-11043 漏洞复现
ADummy的博客
02-26 168
PHP-FPM远程命令执行(CVE-2019-11043) by ADummy 0x00利用路线 ​ 安装go环境—>下载利用工具—>写入shell—>getshell 0x01漏洞介绍 ​ 漏洞主要由于 PHP-FPM 中 sapi/ fpm/ fpm/ fpm_main.c 文件内的 env_path_info 下溢导致,攻击者可以使用换行符 %0a 破坏 Nginx 中 fastcgi_split_path_info 对应的正则表达式,导致传递给 PHP-FPM 的 PATH_
php-fpm rce攻击
蚁景网安学院
09-27 1964
0x00 somethingPHP-FPM(FastCGI Process Manager):FastCGI进程管理器FastCGIFastCGI 本身是一个协议,是服务器中间件和某个语...
CVE-2019-11043 php-fpm和nginx RCE漏洞复现
三天不打上房揭瓦的博客
04-17 628
目录漏洞概述影响版本漏洞复现环境启动代码执行漏洞修复 漏洞概述 Nginx 上 fastcgi_split_path_info 在处理带有 %0a 的请求时,会因为遇到换行符 \n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO 为空的情况下,存在逻辑缺陷。攻击者通过精心的构造和利用,可以导致远程代码执行。 影响版本 Nginx + php-fpm 的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞。 不可以远程代码执行:PHP 7.0/7.1/7.2/7.3 l
PHP-FPM实现性能优化
10-22
PHP-FPM(FastCGI Process Manager)是PHP的一个重要组件,它作为PHP FastCGI的管理器,负责处理来自Web服务器(如Nginx)的PHP请求。在Nginx上运行PHP应用程序时,通常会将请求转发给PHP-FPM进行解析和执行。从PHP ...
解决Linux下php-fpm进程过多导致内存耗尽问题
12-20
在Linux系统中,php-fpm(FastCGI Process Manager)是PHP的一个重要组件,它用于管理PHP进程池,处理来自Web服务器(如Nginx)的请求。当php-fpm进程过多时,可能会导致内存耗尽,从而影响到其他服务,如数据库服务...
基于php-fpm的配置详解
12-18
**基于PHP-FPM的配置详解** PHP-FPM (FastCGI Process Manager) 是PHP的一个重要组件,用于管理和调度PHP解析器以处理FastCGI请求。它提供了更高效、更可控的PHP服务运行环境,尤其在高并发场景下表现优越。在PHP ...
php-fpm.tar.gz
03-21
PHP-FPM:高效管理PHP进程的利器》 PHP-FPM,全称为“PHP FastCGI Process Manager”,是PHP的一个重要组件,专为管理和优化PHP应用程序的FastCGI进程而设计。在本篇中,我们将深入探讨PHP-FPM的含义、功能以及...
php5.3.27漏洞,CVE-2019-11043 PHP 远程代码执行漏洞
weixin_31978735的博客
03-11 517
1. 背景9 月 26 日,PHP 官方发布漏洞通告,其中指出:使用 Nginx + php-fpm 的服务器,在部分配置下,存在远程代码执行漏洞。并且该配置已被广泛使用,危害较大。漏洞 PoC 在 10 月 22 日公开,国内安全媒体及时发布了预警。2. 漏洞描述Nginx 上 fastcgi_split_path_info 在处理带有 %0a 的请求时,会因为遇到换行符 \n 导致 PATH_...
php-fpm (CVE-2019-11043)漏洞复现
thelostworld
05-11 271
漏洞详情来自Wallarm的安全研究员Andrew Danau在9月14号至16号举办的Real World CTF中,向服务器发送%0a(换行符)时,服务器返回异常信息,疑似存在漏洞。当Nginx使用特定的fastcgi配置时,存在远程代码执行漏洞,但这个配置并非Nginx默认配置。当fastcgi_split_path_info字段被配置为 ^(.+?\.php)(/.*)$;时,攻击者可以通过精心构造的payload,造成远程代码执行漏洞,该配置已被广泛使用,危害较大影响版本当Nginx + php-
CVE漏洞复现-CVE-2019-11043-PHP-FPM 远程代码执行漏洞
最新发布
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-27 977
来自Wallarm的安全研究员Andrew Danau在9月14-16号举办的Real World CTF中,意外的向服务器发送%0a(换行符)时,服务器返回异常信息。由此发现了这个0day漏洞当使用特定的 fastcgi 配置时,存在远程代码执行漏洞,但这个配置并非是Nginx的默认配置。只有当fastcgi_split_path_info 字段被配置为 ^(.+?时,攻击者可以通过精心构造的payload,造成远程代码执行漏洞。由于该配置已被广泛使用,所以危害较大。
PHP-FPM 远程代码执行漏洞
锋刃科技的博客
05-21 2127
漏洞简介 国外安全研究员 Andrew Danau在解决一道 CTF 题目时发现, 向目标服务器 URL 发送 %0a 符号时, 服务返回异常, 疑似存在漏洞 2019年10月23日, github公开漏洞相关的详情以及exp.当nginx配置不当时, 会导致php-fpm远程任意代码执行 影响组件 Nginx + FPM + PHP7 漏洞指纹 Nginx PHP Nextcloud 漏洞分析 该漏洞需要在nginx.conf中进行特定配置才能触发。具体配置如下: location
CVE-2019-11043(php-fpm & nginx RCE远程命令执行漏洞复现)
大哥一声吼
10-28 3280
写在前边 利用条件比较苛刻,各位看官看一下就好了 复现环境 ubuntu:Linux kk-machine 4.13.0-36-generic #40~16.04.1-Ubuntu SMP Fri Feb 16 23:25:58 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux go:go version go1.13.3 linux/amd64 go 环境安...
CVE-2019-11043PHP远程代码执行漏洞)
m0_51468027的博客
02-12 8922
一、漏洞描述   CVE-2019-11043 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码。   向Nginx + PHP-FPM的服务器 URL发送 %0a 时,服务器返回异常。   该漏洞需要在nginx.conf中进行特定配置才能触发。具体配置如下: location ~ [^/]\.php(/|$) { ... fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_
pm.php漏洞,【漏洞典范】php-fpm RCE的POC的理解剖析(CVE-2019-11043)
weixin_35675101的博客
04-02 439
原标题:【漏洞典范】php-fpm RCE的POC的理解剖析(CVE-2019-11043)“此漏洞非常的棒,特别是利用写的非常的精妙,可以作为二进制结合web的漏洞利用的典范,非常值得思考和学习”,phithon师傅说。同时也是因为本人也是对结合二进制的web漏洞比较感兴趣,觉得比较的好玩,所以就自己学习和分析一波,如果哪里分析的不对,希望大家可以及时的提出斧正,一起学习进步。对这个漏洞原理有所...
CVE-2019-11043PHP-FPM在Nginx特定配置下远程代码执行漏洞
冠霖L的博客
11-03 598
0x00 漏洞介绍 nginx + php-fpm 配置不当,当nginx配置文件中有fastcgi_split_path_info模块,在处理带%0a的请求时,对换行符\n 处置不当使得将PATH_INFO值置为空,从而导致可以通过FCGI_PUTENV与PHP_VALUE相结合,修改当前的php-fpm进程中的php配置,在特殊构造的配置生效的情况下可以触发任意代码执行。 0x01 影响范围 ...
PHP7.x的 PHP-FPM 存在远程代码执行漏洞
kuzina111的博客
10-29 4127
据外媒 ZDNet 的报道,PHP 7.x 中最近修复的一个远程代码执行漏洞正被恶意利用,并会导致攻击者控制服务器。编号为CVE-2019-11043的漏洞允许攻击者通过向目标服务器发送特制的 URL,即可在存在漏洞的服务器上执行命令。漏洞利用的PoC代码也已在 GitHub 上发布。 一旦确定了易受攻击的目标,攻击者便可以通过在URL 中附加'?a=' 以发送特制请求到易受攻...
php-fpm远程使用,Nginx的PHP-FPM远程代码执行 漏洞复现
weixin_39616477的博客
03-19 213
在9月14日至18举办的RealWorldCTF中,国外安全研究员AndrewDanau在解决一道CTF题目时发现,向目标服务器URL发送%0a符号时,服务返回异常,疑似存在漏洞。Nginx上fastcgi_split_path_info在处理带有%0a的请求时,会因为遇到换行符\n导致PATH_INFO为空。而php-fpm在处理PAT...
"LAMP环境下Apache服务器搭载php-fpm服务优化高并发性能
LAMP (Linux, Apache, MySQL, PHP) 是一种流行的网络应用程序解决方案,最近还引入了 php-fpm 服务器 php7.16。当将 Apache 服务器与 php-fpm 服务搭载后,大大增强了高并发性能,弥补了以往的短板。通过创建用户及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值