Fastcgi协议访问任意文件、远程执行任意代码

最新推荐文章于 2024-04-28 13:26:03 发布
置顶 最新推荐文章于 2024-04-28 13:26:03 发布
阅读量1.1k 收藏
点赞数 2
文章标签: nginx php fastcgi 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53061933/article/details/120148177
版权

文章目录


这篇文章算是我看大佬博客的笔记,建议各位同学看大佬博客学习,有兴趣可以再来看我这一篇,可能会有思维的火花呢? Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写 😃 😃 😃 😃

学习漏洞必知

{1} http是浏览器发送给服务器的信息要遵循的协议,fastcgi则是服务器发送给php-fpm要遵循的协议

{2} php-fpm是可以理解为一个程序,用来解析浏览器发送过来的fastcgi数据格式,并且和连接后端程序

{3} 网页交互的过程是 浏览器–>服务器中间件(Nginx、apache等)–>php-fpm–>后端程序(mysql等)

{4} php-fpm的默认端口是9000

{5} fastcgi协议的record格式也是分为协议头和协议体,协议头固定有八个字节,协议体最多有65536字节,理解record头和record体可以按照c语言理解为一个结构体,先是在一个结构体中定义header(其中细分了versiontyperequestidcontentLengthpaddinglengthlength[reserved保留数据块])和body(只有Cantentdatapaddingdata两部分且都是根据fastcgi头定义的),之后再对其进行赋值,还要注意的是其中的变量都被声明为了unsigned char类型,结构体定义如下图
在这里插入图片描述

{6}由此record概念就是fastcg-header + fastcgi-body,而多个record则构成了fastcgi协议,record根据传给后端的目的不同分为了不同的种类,在record头中的type元素就是用来记录此record是用来干什么的,一共有7种类型,这里就不做过多描述,但是简单描述一下就是,当第一次发送给php-fpm时type的值是1,之后的值都是4、5、6、7,如果要断开连接值是2、3,type具体的类型如下图
在这里插入图片描述

{7}php-fmp收到的record头是上文的形式,它收到的record体就不是这样子,这里只说它处理type值是4时的格式,此时的格式是键值对的形式,定义的结构体分别要声明 变量名的长度、变量值的长度、变量名的值、变量值,其类型如下图,有四种格式,根据不同情况用不同的结构体,调用的标准就是其中内容的多少
在这里插入图片描述
在这里插入图片描述

{8}当访问的是一个php文件时,php-fpm处理type值为4时生成的键值对在php中作为环境变量,在.user.ini文件中有PHP_VALUE和PHP_ADMIN_VALUE,这两种配置类型可以生成环境变量,其中有环境变量auto-repend-file和auto-apend-file可以用来设置在所有文件的前还是后加入某个文件,值得一说的是它可以设置为php://input之后,再设置allow-url-include=on。这些步骤懂得都懂,不懂得童鞋可以去了解一下php伪协议。

漏洞成因分析

{1}访问任意文件

在Nginx(||S7)中为了实现Path info模块添加了fix_pathinfo,这种方法会造成任意文件访问漏洞,它的漏洞逻辑就是将环境变量中的SCRIPT_FILENAME的值做处理,要是访问不了该路径下的文件,就将最后一个"/"及之后的内容全删了,这样就可以访问任意文件,当作php文件解析

{1.1}访问任意文件的防护

为了防止这种情况的出现在Nginx上和php-fpm都做了防护,在Nginx上的防护是设置了fast-split-path-info这样就不会用fix-pathinfo而是用tryfiles,如果用这种方法那么这个漏洞就已经不存在了。在php-fpm中的安全设置是 security.limit-extensions 这个参数之后跟着的值是php-fpm处理的SCRIPT-FILENAME文件的后缀,设定这个参数之后则我们只能访问指定后缀的文件

{2}远程任意代码执行

远程任意代码的执行需要了解到,当record的type设置为4之后php-fpm会配置解析的环境,此时可以设置PHP_VALUE和PHP_ADMIN_VALUE这两个参数这两个参数可以对php的参数进行配置。玩过upload的同学应该都知道.htaccess和user.ini文件这两个文件都是apache的配置文件,它们可以设置一些参数其中就有

  • 1、php_value auto_prepend_file forming.txt在主文件解析之前自动解析包含forming.txt的内容
  • 2、php_value auto_append_file forming.txt在主文件解析后自动解析forming.txt的内容

这样的内容,通过php-fpm让Nginx用php_value去配置它的值是php://input这样访问任意文件的post传参部分都会被当作php代码执行,同时因为php://input伪协议的关系需要将allow-url-fopen设置为off/on、将allow-url-include设置为on这样才能执行,所以我们用到了PHP_ADMIN_VALUE这个环境变量能设置任何参数(除了disable-function),其中包括了allow-url-include用该环境变量设置好之后就可以执行任意代码了

SuperForming
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
PHP-CGI远程代码执行
qq_53701412的博客
04-17 697
PHP SAPL
PHP-CGI远程代码执行漏洞分析与防范
12-20
PHP-CGI远程代码执行漏洞是针对PHP运行模式中的CGI接口的一种安全缺陷,可能导致攻击者能够在服务器上执行任意代码,从而获取服务器控制权。该漏洞主要出现在PHP的CGI sapi(服务器应用程序接口)中,特别是在以CGI...
vulhub漏洞复现之bash(Shellshock CVE-2014-6271)
weixin_43071873的博客
11-27 1242
Shellshock 破壳漏洞 CVE-2014-6271 1.漏洞概述: GNU Bash 4.3及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行shell命令。某些服务和应用允许未经身份验证的远程攻击者提供环境变量以利用此漏洞。此漏洞源于在调用bash shell之前可以用构造的值创建环境变量。这些变量可以包含代码,在shell被调用后会被立即执行。 2.漏洞影响:GNU Bash <= 4.3
FASTCGI协议简单理解
最新发布
2301_79323180的博客
04-28 889
字段解释role表示Web服务器期望应用扮演的角色。分为三个角色(而我们这里讨论的情况一般都是响应器角色)而中的flags:如果为0,则应用在对本次请求响应后关闭线路。如果非0,应用在对本次请求响应后不会关闭线路;Web服务器为线路保持响应性。字段解释appStatus组件是应用级别的状态码。组件是协议级别的状态码;的值可能是:FCGI_REQUEST_COMPLETE:请求的正常结束。FCGI_CANT_MPX_CONN:拒绝新请求。
PHP FastCGI远程利用
cnbird's blog
09-17 1158
说到FastCGI,大家都知道这是目前最常见的webserver动态脚本执行模型之一。目前基本所有web脚本都基本支持这种模式,甚至有的类型脚本这是唯一的模式(ROR,Python等)。  FastCGI的主要目的就是,将webserver和动态语言的执行分开为两个不同的常驻进程,当webserver接收到动态脚本的请求,就通过fcgi协议将请求通过网络转发给fcgi进程,由fcgi进程进行
fastcgi未授权访问任意命令执行
浅笑996的博客
11-21 2260
1. 漏洞原理 服务端使用fastcgi协议并对外网开放9000端口,攻击者可以构造fastcgi协议包内容,实现未授权访问服务端.php文件以及执行任意命令。 2. 漏洞利用 第一步 搭建vulhub靶机环境 请看链接:https://blog.csdn.net/qq_36374896/article/details/84102101 第二步 Payload构造 攻击机构造Payload 示例:...
RandomAccessFile任意访问文件
海恩的博客
04-30 205
简介 其父类为Object,并没有继承字符流或字节流的任一个类 实现了DataInput、DataOutput接口,意味着这个类即可读又可写。 是io体系中功能...
fastcgi文件读取漏洞之python扫描脚本
12-23
FastCGI的主要目的就是,将webserver和动态语言的执行分开为两个不同的常驻进程,当webserver接收到动态脚本的请求,就通过fcgi协议将请求通过网络转发给fcgi进程,由fcgi进程进行处理之后,再将结果传送给webserver...
JAVA上百实例源码以及开源项目源代码
09-17
5个目标文件,演示Address EJB的实现,创建一个EJB测试客户端,得到名字上下文,查询jndi名,通过强制转型得到Home接口,getInitialContext()函数返回一个经过初始化的上下文,用client的getHome()函数调用Home接口...
JAVA上百实例源码以及开源项目
01-03
5个目标文件,演示Address EJB的实现,创建一个EJB测试客户端,得到名字上下文,查询jndi名,通过强制转型得到Home接口,getInitialContext()函数返回一个经过初始化的上下文,用client的getHome()函数调用Home接口...
10_文件包含漏洞(属于任意代码执行
weixin_34183910的博客
08-31 306
一、背景介绍   随着网站业务的需求,web脚本可能允许客户端用户输入控制动态包含在服务器端的文件,会导致恶意代码执行及敏感信息泄露,主要包括本地文件包含和远程文件包含两种形式。 二、漏洞成因   文件包含漏洞的产生原因是在通过引入文件时,引用的文件名,用户可控,由于传入的文件名没有经过合理的校验,或者校验被绕过,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。当被包...
控制fastcgi的shell命令
zhexiao
03-27 1152
# ------------------------------------------------------------------------- # Shell to Script to start / stop PHP FastCGI using php-cgi, spawn-fcgi . # ----------------------------------------------
任意文件读取漏洞小记
weixin_37104668的博客
09-12 1066
漏洞介绍 很多网站由于业务需求,往往需要提供文件(附件)下载的功能块,但是如果对下载的文件没有做限制,直接通过绝对路径对其文件进行下载,那么,恶意用户就可以利用这种方式下载服务器的敏感文件,对服务器进行进一步的威胁和攻击。 漏洞存在的地方 系统中存在文件(附件/文档/图片等等资源)下载的地方。 任意文件读取常见参数名: &RealPath= &FilePath= &file= &filename= &Path= &path= &inputFile= &
FastCGI协议内容
热门推荐
分享不一样的技术,与你一起共同成长!
04-27 11万+
总结: 和理解http协议一样去理解fastcgi协议其实很都是b/s架构, 一个客户端发一个request请求,一个server端响应数据。此时WebServer作为client fastcgi程序例如php-fpm作为server端(一般我们会看到起在9000端口)。此时WebServer与php-fpm交互的过程。找了一篇文章把fastcgi协议讲得比较清楚,记录一下,可以参考。
PHP 远程代码执行漏洞
LILAIQUN博客
10-24 619
漏洞描述: Nginxfastcgi_split_path_info 在处理带有 %0a 的请求时,会因为遇到换行符 \n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO 为空的情况下,存在逻辑缺陷。攻击者通过精心的构造和利用,可以导致远程代码执行。 影响版本: Nginx + php-fpm 的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞。 ...
PHP-CGI远程代码执行漏洞(CVE-2012-1823)
鲨鱼辣椒的博客
06-09 1982
CGI是什么? CGI(Common Gateway Interface)公共网关接口,是web服务器运行时外部程序的规范,几乎所有的服务器都支持CGI,也可以用r
任意文件读取、未授权访问及信息泄露GET型EXP模版
白昼小丑的博客
02-29 393
代码任意文件读取、未授权访问及信息泄露GET型EXP模版。
任意文件读取漏洞
m0_57276420的博客
04-08 5216
任意文件读取漏洞(Arbitrary File Read Vulnerability)是指攻击者可以通过web应用程序读取任意文件而不受访问控制限制的漏洞。这种漏洞可能导致敏感信息泄露、系统崩溃等问题。攻击者可以利用任意文件读取漏洞访问服务器上的任意文件,包括密码文件、配置文件等,从而获取系统权限和敏感信息。此外,攻击者还可以利用该漏洞读取应用程序中的敏感数据,如数据库凭据、API密钥等。任意文件读取漏洞通常是由于未正确验证用户输入所导致的。
centos中没有fastcgi-php.conf文件怎么办
06-09
在 CentOS 中,如果没有 `fastcgi-php.conf` 文件,可以按照以下步骤进行操作: 1. 打开 `/etc/nginx/fastcgi.conf` 文件文件NginxFastCGI 配置文件,其中包含了 FastCGI 相关的配置信息。打开该文件: ``` sudo nano /etc/nginx/fastcgi.conf ``` 2. 添加 PHP 相关配置信息 在文件末尾添加以下内容: ``` fastcgi_split_path_info ^(.+\.php)(/.+)$; fastcgi_pass unix:/run/php-fpm/www.sock; fastcgi_index index.php; include fastcgi_params; ``` 其中,`fastcgi_split_path_info` 表示将 URL 中的路径和参数分开,`fastcgi_pass` 指定 PHP-FPM 的监听地址,`fastcgi_index` 表示默认的 PHP 文件名为 `index.php`,`include` 指令引入了 `fastcgi_params` 文件中的 FastCGI 参数。 3. 重启 NginxPHP-FPM 完成配置后,需要重启 NginxPHP-FPM 服务: ``` sudo systemctl restart nginx sudo systemctl restart php-fpm ``` 现在,Nginx 就能够正确地解析 PHP 文件了。可以在 `/usr/share/nginx/html` 目录下创建一个 `index.php` 文件,输入以下代码: ``` <?php phpinfo(); ?> ``` 在浏览器中输入服务器的 IP 地址或域名,就可以看到 PHP 的信息页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SuperForming

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值