php可以在任意环境中执行吗,php-fpm在nginx特定环境下的任意代码执行漏洞(CVE-2019-11043)...

最新推荐文章于 2024-09-22 15:06:10 发布
最新推荐文章于 2024-09-22 15:06:10 发布
阅读量118 收藏
点赞数
文章标签: php可以在任意环境中执行吗

目录

0x01 漏洞介绍

0x02 漏洞影响

0x03 漏洞复现

0x01 漏洞介绍

在长亭科技举办的 Real World CTF 中,国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现,向目标服务器 URL 发送%0a符号时,服务返回异常,疑似存在漏洞。

在nginx上,fastcgi_split_path_info处理带有%0a的请求时,会因为遇到换行符n,导致PATH_INFO为空,而在php-fpm对PATH_INFO进行处理时,对其值为空时的处理存在逻辑问题,从而导致远程代码执行漏洞

在fpm_main.c文件的第1150行代码可以很明显的看出来,问题的所在

https://github.com/php/php-src/blob/master/sapi/fpm/fpm/fpm_main.c#L1150

复制代码

0304ffbc24d5af97ddd631132786972a.png

0x02 漏洞影响

服务器环境为nginx + php-fpm,并且nginx的配置像下面这样

location ~ [^/]\.php(/|$) {

...

fastcgi_split_path_info ^(.+?\.php)(/.*)$;

fastcgi_param PATH_INFO $fastcgi_path_info;

fastcgi_pass php:9000;

...

}

复制代码

另外,PHP 5.6版本也受此漏洞影响,但目前只能 Crash,不可以远程代码执行:

PHP 7.0 版本

PHP 7.1 版本

PHP 7.2 版本

PHP 7.3 版本

复制代码

fb57554033635ae89f167437dccb5d06.png

如果使用了nginx官方提供的默认配置,将会收到影响

https://www.nginx.com/resources/wiki/start/topics/examples/phpfcgi/

复制代码

1f01d5b916ded57f8357d1a391b5b76d.png

611d51beed0202ae5540753eb207f055.png

0x03 漏洞复现

在vulhub上已经有了可以利用的漏洞环境,直接pull下来进行复现即可

使用的exp是国外研究员的go版本的

https://github.com/neex/phuip-fpizdam

复制代码

自己去pull环境就可以了

f36c424f4e494ca426feb9a47510e420.png

完后就是复现操作

访问http://your-ip:8080/index.php

4cfb6e5ed01ea007952ce2e510d9210c.png

然后我们使用vulhub中使用的go版本的exp

先安装golang环境

775530505fec29b0c717aed25e180177.png

然后将exp部署到本地并利用

fa1cf8eba8c38a325974111f4842ebe5.png

5a93c5ecdcef54c650f2ac1c9fa345c7.png

成功利用

17b806d5d283a5aced761cab1d97394b.png

0217eccd2e95db139b6a5257cde628e8.png

这里还需要注意一下,由于只有部分php-fpm子进程受到了污染,所以请多执行几次命令

文章首发公众号:无心的梦呓(wuxinmengyi)

这是一个记录红队学习、信安笔记,个人成长的公众号

扫码关注即可

weixin_39757743
关注
安装配置php-fpm来搭建Nginx+PHP的生产环境
09-30
搭建一个高效的Web服务器环境,尤其是对于处理PHP应用来说,NginxPHP-FPM的组合是常见的选择。本文将详细讲解如何安装配置php-fpm,以及如何与Nginx配合,构建一个生产级别的PHP环境。 首先,理解php-fpm的核心...
nginx常见漏洞解析
qtttgeq的博客
04-06 1万+
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
间件安全—Nginx常见漏洞
剁椒鱼头没剁椒的博客
02-21 4972
在上篇间件安全—Apache常见漏洞,并未对间件漏洞进行解释,这里补充一下。
nginx常见漏洞解析_nginx漏洞
最新发布
2401_87298532的博客
09-22 1422
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
web服务器/间件漏洞系列5:nginx漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-01 6110
复现环境: vulhub docker —> nginx 一、错误配置导致的漏洞 1、CRLF注入漏洞 漏洞原理: CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a。在HTTP协议,HTTP header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。CRLF漏洞常出现在Location与S.
Nginx漏洞总结
m0_67391518的博客
08-02 7085
Nginx(enginex)是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx1.0.4发布。Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like协议下发行。...
Nginx 解析漏洞
来日可期的博客
09-09 4696
Nginx空字节漏洞Nginx 解析漏洞复现,Nginx 文件名逻辑漏洞CVE-2013-4547)漏洞复现合集
详解Linux下安装php环境并且配置Nginx支持php-fpm模块
01-11
以下以CentOS 7.2为例,安装php的运行环境,首先打开php官网http://php.net/点击导航栏的Downloads进入下载页面:http://php.net/downloads.php 这里下载最新版的php 7.0.5 的源码包:   下载下来之后上传至服务器 ...
实现Nginx使用PHP-FPM时记录PHP错误日志的配置方法
01-20
nginx与apache不一样,在apache可以直接指定php的错误日志,那样在php执行的错误信息就直接输入到php的错误日志,可以方便查询。 在nginx事情就变成了这样:nginx只对页面的访问做access记录日志。不会有php...
nginx php-fpm环境chroot功能的配置使用方法
01-09
php-fpm提供有一个非常重要的功能chroot,它可以把指定的网站完完全全限制在一个目录下,可以对系统和其它虚拟机起到很好的隔离效果,这对系统的安全无疑是加强了不少,下面介绍如何配置。 我们假设域名为...
NGINX漏洞 整理记录
04-06 5966
简单介绍NGINX: Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。 其特点是占有内存少,并发能力强,nginx的并发能力在同类型的网页服务器表现较好。主要应用在百度,淘宝等高并发请求情形。 漏洞: 1.NGINX解析漏洞 (1)Nginx文件名逻辑漏洞CVE-2013-4547) 影响版本:Nginx0.8.41~1.4.3 / 1.5.0~1.5.7 漏洞原理:主要原因是nginx错误的..
nginx常见漏洞解析_nginx漏洞(2),2024年最新【一篇文章搞懂
2401_84181340的博客
04-10 3480
间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。但是在开发使用过程也不乏官方程序自身的一些安全问题。我们在处理应急响应事件时经常遇到这么一种情况,客户网站代码是外包的,也就是第三方公司负责开发,而部署可能是由客户内部运维人员负责。暂不说他们对于间件安全的重视程度与了解程度,只谈发现漏洞后如何处理,便是一团乱。开发商推卸说这并不是代码上的问题,他们完全是按照安全开发流程(SDL)走的,所以跟他无关。
Nginx常见的三个漏洞
qq_57289939的博客
08-16 1248
uri。
Nginx 安全漏洞CVE-2022-3638)处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-28 1万+
漏洞描述如下:nginx发现的该漏洞会影响涉及IPv4连接断开的ngx_resolver.c文件某些未知处理过程,攻击者利用该漏洞在发起远程攻击,导致这个过程触发内存泄漏。从发布的版本看,1.23.2版本并没有标明修复CVE-2022-3638漏洞,但看文件已经删除了下列代码,最好使用补丁编译。:该主机上Nginx为从其他主机整体打包后拷贝过来,启动运行的,后来升级时发现很多依赖项并未安装;2)下载后,将补丁覆盖源码包,重新编译或直接用1.23.2版本重新编译。
安全级2:nginx间件漏洞
weixin_62870380的博客
05-22 2653
nginx间件漏洞,CRLF(换行符漏洞)、目录穿越漏洞、add_heard漏洞nginx文件名逻辑漏洞nginx解析漏洞
nginx常见漏洞解析_nginx漏洞,你有过迷茫吗
2301_76225520的博客
04-03 1606
3.查看效果,确实可以有效消除CRLF的影响。
配置Nginx解决http host头攻击漏洞【详细步骤】
热门推荐
虽千万人,吾往矣
12-12 1万+
安全系统渗透测试出host头攻击漏洞,下面是解决步骤。
Nginx生产环境漏洞处理
weixin_55985097的博客
09-15 4777
很多企业在生产服务会使用nginx作为web前端服务器,那么在使用过程会出现一些漏洞问题,以下为常见的部分漏洞和解释解决方案 点击劫持:X-Frame-Options未配置 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP 响应头信息的X-Fra
nginx漏洞复现(包含nginx的介绍,配置,访问控制等内容),是较全的nginx学习(1)
2401_83739727的博客
04-18 719
解释下:比如访问ip/index.htmls不出意外肯定会正常访问,那么我们输入ip/test/htmls按照第二个匹配来说应该是拒绝的,但是因为上面说的只要匹配成功就不会继续匹配后面定义的正则location,所有ip/test/htmls也会访问成功。那么如果想ip/index.htmls访问成功,而ip/test/htmls访问不成功,我们只需要让这两个location交换位置就行。
Nginx配置与php-fpm联调错误:解决方案与路径调整
本文档主要介绍了如何解决在安装并配置NginxPHP-FPM环境后,遇到的调用PHP时出现的"Primary script unknown"错误的问题。首先,用户在安装完NginxPHP-5.5之后,配置了Nginx以调用PHP-FPM服务,通过执行`/usr/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值