Fastcgi协议访问任意文件、远程执行任意代码

最新推荐文章于 2024-04-28 13:26:03 发布
置顶 最新推荐文章于 2024-04-28 13:26:03 发布
阅读量1.1k 收藏
点赞数 2
文章标签: nginx php fastcgi 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53061933/article/details/120148177
版权

文章目录


这篇文章算是我看大佬博客的笔记,建议各位同学看大佬博客学习,有兴趣可以再来看我这一篇,可能会有思维的火花呢? Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写 😃 😃 😃 😃

学习漏洞必知

{1} http是浏览器发送给服务器的信息要遵循的协议,fastcgi则是服务器发送给php-fpm要遵循的协议

{2} php-fpm是可以理解为一个程序,用来解析浏览器发送过来的fastcgi数据格式,并且和连接后端程序

{3} 网页交互的过程是 浏览器–>服务器中间件(Nginx、apache等)–>php-fpm–>后端程序(mysql等)

{4} php-fpm的默认端口是9000

{5} fastcgi协议的record格式也是分为协议头和协议体,协议头固定有八个字节,协议体最多有65536字节,理解record头和record体可以按照c语言理解为一个结构体,先是在一个结构体中定义header(其中细分了versiontyperequestidcontentLengthpaddinglengthlength[reserved保留数据块])和body(只有Cantentdatapaddingdata两部分且都是根据fastcgi头定义的),之后再对其进行赋值,还要注意的是其中的变量都被声明为了unsigned char类型,结构体定义如下图
在这里插入图片描述

{6}由此record概念就是fastcg-header + fastcgi-body,而多个record则构成了fastcgi协议,record根据传给后端的目的不同分为了不同的种类,在record头中的type元素就是用来记录此record是用来干什么的,一共有7种类型,这里就不做过多描述,但是简单描述一下就是,当第一次发送给php-fpm时type的值是1,之后的值都是4、5、6、7,如果要断开连接值是2、3,type具体的类型如下图
在这里插入图片描述

{7}php-fmp收到的record头是上文的形式,它收到的record体就不是这样子,这里只说它处理type值是4时的格式,此时的格式是键值对的形式,定义的结构体分别要声明 变量名的长度、变量值的长度、变量名的值、变量值,其类型如下图,有四种格式,根据不同情况用不同的结构体,调用的标准就是其中内容的多少
在这里插入图片描述
在这里插入图片描述

{8}当访问的是一个php文件时,php-fpm处理type值为4时生成的键值对在php中作为环境变量,在.user.ini文件中有PHP_VALUE和PHP_ADMIN_VALUE,这两种配置类型可以生成环境变量,其中有环境变量auto-repend-file和auto-apend-file可以用来设置在所有文件的前还是后加入某个文件,值得一说的是它可以设置为php://input之后,再设置allow-url-include=on。这些步骤懂得都懂,不懂得童鞋可以去了解一下php伪协议。

漏洞成因分析

{1}访问任意文件

在Nginx(||S7)中为了实现Path info模块添加了fix_pathinfo,这种方法会造成任意文件访问漏洞,它的漏洞逻辑就是将环境变量中的SCRIPT_FILENAME的值做处理,要是访问不了该路径下的文件,就将最后一个"/"及之后的内容全删了,这样就可以访问任意文件,当作php文件解析

{1.1}访问任意文件的防护

为了防止这种情况的出现在Nginx上和php-fpm都做了防护,在Nginx上的防护是设置了fast-split-path-info这样就不会用fix-pathinfo而是用tryfiles,如果用这种方法那么这个漏洞就已经不存在了。在php-fpm中的安全设置是 security.limit-extensions 这个参数之后跟着的值是php-fpm处理的SCRIPT-FILENAME文件的后缀,设定这个参数之后则我们只能访问指定后缀的文件

{2}远程任意代码执行

远程任意代码的执行需要了解到,当record的type设置为4之后php-fpm会配置解析的环境,此时可以设置PHP_VALUE和PHP_ADMIN_VALUE这两个参数这两个参数可以对php的参数进行配置。玩过upload的同学应该都知道.htaccess和user.ini文件这两个文件都是apache的配置文件,它们可以设置一些参数其中就有

  • 1、php_value auto_prepend_file forming.txt在主文件解析之前自动解析包含forming.txt的内容
  • 2、php_value auto_append_file forming.txt在主文件解析后自动解析forming.txt的内容

这样的内容,通过php-fpm让Nginx用php_value去配置它的值是php://input这样访问任意文件的post传参部分都会被当作php代码执行,同时因为php://input伪协议的关系需要将allow-url-fopen设置为off/on、将allow-url-include设置为on这样才能执行,所以我们用到了PHP_ADMIN_VALUE这个环境变量能设置任何参数(除了disable-function),其中包括了allow-url-include用该环境变量设置好之后就可以执行任意代码了

SuperForming
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
PHP-CGI远程代码执行漏洞分析与防范
12-20
PHP-CGI远程代码执行漏洞是针对PHP运行模式中的CGI接口的一种安全缺陷,可能导致攻击者能够在服务器上执行任意代码,从而获取服务器控制权。该漏洞主要出现在PHP的CGI sapi(服务器应用程序接口)中,特别是在以CGI...
CVE漏洞复现-CVE-2019-11043-PHP-FPM 远程代码执行漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-27 976
来自Wallarm的安全研究员Andrew Danau在9月14-16号举办的Real World CTF中,意外的向服务器发送%0a(换行符)时,服务器返回异常信息。由此发现了这个0day漏洞当使用特定的 fastcgi 配置时,存在远程代码执行漏洞,但这个配置并非是Nginx的默认配置。只有当fastcgi_split_path_info 字段被配置为 ^(.+?时,攻击者可以通过精心构造的payload,造成远程代码执行漏洞。由于该配置已被广泛使用,所以危害较大。
vulhub漏洞复现之bash(Shellshock CVE-2014-6271)
weixin_43071873的博客
11-27 1242
Shellshock 破壳漏洞 CVE-2014-6271 1.漏洞概述: GNU Bash 4.3及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行shell命令。某些服务和应用允许未经身份验证的远程攻击者提供环境变量以利用此漏洞。此漏洞源于在调用bash shell之前可以用构造的值创建环境变量。这些变量可以包含代码,在shell被调用后会被立即执行。 2.漏洞影响:GNU Bash <= 4.3
FASTCGI协议简单理解
最新发布
2301_79323180的博客
04-28 892
字段解释role表示Web服务器期望应用扮演的角色。分为三个角色(而我们这里讨论的情况一般都是响应器角色)而中的flags:如果为0,则应用在对本次请求响应后关闭线路。如果非0,应用在对本次请求响应后不会关闭线路;Web服务器为线路保持响应性。字段解释appStatus组件是应用级别的状态码。组件是协议级别的状态码;的值可能是:FCGI_REQUEST_COMPLETE:请求的正常结束。FCGI_CANT_MPX_CONN:拒绝新请求。
[转] FastCGI 进程管理器(FPM) 参数详解 /etc/php-fpm.conf
dashu1993的博客
06-22 128
[转] FastCGI 进程管理器(FPM) 参数详解 /etc/php-fpm.conf 转自: http://www.php.net/manual/zh/install.fpm.configuration.php 配置 FPM 配置文件为 p...
PHP-CGI远程代码执行漏洞(CVE-2012-1823)
鲨鱼辣椒的博客
06-09 1986
CGI是什么? CGI(Common Gateway Interface)公共网关接口,是web服务器运行时外部程序的规范,几乎所有的服务器都支持CGI,也可以用r
PHP-CGI远程代码执行
qq_53701412的博客
04-17 698
PHP SAPL
fastcgi文件读取漏洞之python扫描脚本
12-23
FastCGI的主要目的就是,将webserver和动态语言的执行分开为两个不同的常驻进程,当webserver接收到动态脚本的请求,就通过fcgi协议将请求通过网络转发给fcgi进程,由fcgi进程进行处理之后,再将结果传送给webserver...
JAVA上百实例源码以及开源项目源代码
09-17
5个目标文件,演示Address EJB的实现,创建一个EJB测试客户端,得到名字上下文,查询jndi名,通过强制转型得到Home接口,getInitialContext()函数返回一个经过初始化的上下文,用client的getHome()函数调用Home接口...
JAVA上百实例源码以及开源项目
01-03
5个目标文件,演示Address EJB的实现,创建一个EJB测试客户端,得到名字上下文,查询jndi名,通过强制转型得到Home接口,getInitialContext()函数返回一个经过初始化的上下文,用client的getHome()函数调用Home接口...
fastcgi未授权访问任意命令执行
浅笑996的博客
11-21 2261
1. 漏洞原理 服务端使用fastcgi协议并对外网开放9000端口,攻击者可以构造fastcgi协议包内容,实现未授权访问服务端.php文件以及执行任意命令。 2. 漏洞利用 第一步 搭建vulhub靶机环境 请看链接:https://blog.csdn.net/qq_36374896/article/details/84102101 第二步 Payload构造 攻击机构造Payload 示例:...
任意文件读取、未授权访问及信息泄露GET型EXP模版
白昼小丑的博客
02-29 398
代码任意文件读取、未授权访问及信息泄露GET型EXP模版。
任意文件读取漏洞
m0_57276420的博客
04-08 5270
任意文件读取漏洞(Arbitrary File Read Vulnerability)是指攻击者可以通过web应用程序读取任意文件而不受访问控制限制的漏洞。这种漏洞可能导致敏感信息泄露、系统崩溃等问题。攻击者可以利用任意文件读取漏洞访问服务器上的任意文件,包括密码文件、配置文件等,从而获取系统权限和敏感信息。此外,攻击者还可以利用该漏洞读取应用程序中的敏感数据,如数据库凭据、API密钥等。任意文件读取漏洞通常是由于未正确验证用户输入所导致的。
php协议实现命令执行,任意文件读取
qq_44418229的博客
06-09 6303
ctf----php协议
PHP FastCGI远程利用
cnbird's blog
09-17 1158
说到FastCGI,大家都知道这是目前最常见的webserver动态脚本执行模型之一。目前基本所有web脚本都基本支持这种模式,甚至有的类型脚本这是唯一的模式(ROR,Python等)。  FastCGI的主要目的就是,将webserver和动态语言的执行分开为两个不同的常驻进程,当webserver接收到动态脚本的请求,就通过fcgi协议将请求通过网络转发给fcgi进程,由fcgi进程进行
CVE-2012-1823(PHP-CGI远程代码执行
浅笑996的博客
11-20 4818
基于vulhub漏洞环境: 安装vulhub漏洞环境 https://mp.csdn.net/mdeditor/84102101# CGI模式下的参数: -c 指定php.ini文件的位置 -n 不要加载php.ini文件 -d 指定配置项 -b 启动fastcgi进程 -s 显示文件源码 -T 执行指定次该文件 -h和-? 显示帮助 1.启动漏洞环境 进入 CVE-20...
php cgi远程任意代码执行漏洞
收集盒 Book box
11-16 5750
CVE-2012-1823(PHP-CGI RCE)的PoC及技术挑战 GaRY  | 2012-05-04 02:16 国外又发布了一个牛逼闪闪的php cgi远程任意代码执行漏洞: http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/  粗看一下貌似没啥危害,因为php做了防范,在cgi这个sapi
【漏洞利用】CVE-2019-11043 PHP 远程代码执行漏洞
weixin_43486390的博客
02-27 1161
本文借鉴了FLy_鹏程万里大佬的《Kali Linux下go语言环境搭建》 链接:https://blog.csdn.net/Fly_hps/article/details/81073316 整合了一些文章作为自己的笔记,以便后续记忆学习。 0x01 背景 9 月 26 日,PHP 官方发布漏洞通告,其中指出:使用 Nginx + php-fpm 的服务器,在部分配置下,存在远程代码执行漏洞。并且...
PHP-CGI远程代码执行漏洞 CVE-2012-1823 漏洞复现
ADummy的博客
02-25 936
PHP-CGI远程代码执行漏洞(CVE-2012-1823) by ADummy 0x00利用路线 ​ Burpsuite抓包改包—>代码执行 0x01漏洞介绍 ​ 首先,介绍一下PHP的运行模式。 下载PHP源码,可以看到其中有个目录叫sapi。sapi在PHP中的作用,类似于一个消息的“传递者”,比如我在《Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写》一文中介绍的fpm,他的作用就是接受Web容器通过fastcgi协议封装好的
centos中没有fastcgi-php.conf文件怎么办
06-09
在 CentOS 中,如果没有 `fastcgi-php.conf` 文件,可以按照以下步骤进行操作: 1. 打开 `/etc/nginx/fastcgi.conf` 文件文件NginxFastCGI 配置文件,其中包含了 FastCGI 相关的配置信息。打开该文件: ``` sudo nano /etc/nginx/fastcgi.conf ``` 2. 添加 PHP 相关配置信息 在文件末尾添加以下内容: ``` fastcgi_split_path_info ^(.+\.php)(/.+)$; fastcgi_pass unix:/run/php-fpm/www.sock; fastcgi_index index.php; include fastcgi_params; ``` 其中,`fastcgi_split_path_info` 表示将 URL 中的路径和参数分开,`fastcgi_pass` 指定 PHP-FPM 的监听地址,`fastcgi_index` 表示默认的 PHP 文件名为 `index.php`,`include` 指令引入了 `fastcgi_params` 文件中的 FastCGI 参数。 3. 重启 NginxPHP-FPM 完成配置后,需要重启 NginxPHP-FPM 服务: ``` sudo systemctl restart nginx sudo systemctl restart php-fpm ``` 现在,Nginx 就能够正确地解析 PHP 文件了。可以在 `/usr/share/nginx/html` 目录下创建一个 `index.php` 文件,输入以下代码: ``` <?php phpinfo(); ?> ``` 在浏览器中输入服务器的 IP 地址或域名,就可以看到 PHP 的信息页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SuperForming

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值