CVE-2019-11043: PHP 7 RCE漏洞分析

研究人员在PHP 7中找出有个远程代码执行(RCE)漏洞,该漏洞CVE编号为CVE-2019-11043。攻击者利用该漏洞只需要访问通过精心伪造的URL就可以在服务器上运行命令。

漏洞简介

该漏洞位于PHP-FPM模块的env_path_info函数,漏洞实际上是有个内存下溢破坏漏洞,攻击者利用该漏洞结合其他漏洞利用可以让攻击者在有漏洞的web网站上执行任意代码。该漏洞影响的是PHP-FPM的特定配置的网站。PHP-FPM是一种可选的PHP FastCGI实现,可以为PHP编程语言编写的脚本来提供高级和高效地处理。

在特定的nginx + php-fpm配置中,web用户就可能会进行代码执行。有漏洞的配置如下所示:

location ~ [^/]\.php(/|$) {
  ...
  fastcgi_split_path_info ^(.+?\.php)(/.*)$;
  fastcgi_param PATH_INFO       $fastcgi_path_info;
  fastcgi_pass   php:9000;
  ...
}

从中可以看出,以上代码上缺乏脚本检查,因此攻击者可以用sploit来触发漏洞。

漏洞利用条件

fastcgi_split_path_info directive必须存在,并且含有以 ^开头,以 $结尾的正则表达式。

必须通过fastcgi_param PATH_INFO $fastcgi_path_info;语句来实现 PATH_INFO变量。首先,研究人员认为必须在fastcgi_params 文件中。

没有文件存在性检查,比如try_files $uri =404 or if (-f $uri)。如果Nginx在FastCGI转发前释放请求到不存在的脚本,研究人员创建的请求就不会到达php-fpm。

虽然漏洞利用只在PHP 7+版本上工作,但该漏洞本身存在于之前的版本中。很长时间内,php-fpm都不会限制脚本的扩展,比如/avatar.png/some-fake-shit.php可以将 avatar.png 作为php脚本执行。PoC代码见:https://github.com/neex/phuip-fpizdam

GitHub上的PoC脚本可以通过发送特殊伪造的请求来查询目标web服务器来识别是否受到该漏洞的影响。识别了有漏洞的目标后,攻击者可以在URL中加上'?a='并发送伪造的请求到有漏洞的web服务器。

建议

因为PoC漏洞利用已经在GitHub上公布了,虽然补丁已经发布了,但是黑客可能已经利用该漏洞了。研究人员建议用户更新PHP到最新的 PHP 7.3.11 或 PHP 7.2.24 。

本文分享自微信公众号 - PHP技术大全(phpgod)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-10-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏陶士涵的菜地

[视频教程] 配置多版本PHP并存运行PHP5.6与PHP7.3

经常有一些项目需要使用不同版本的PHP运行环境,比如有的老项目需要使用5.3版本,有的新项目比如laravel需要使用7.2以上版本,那么在一台机器上如何多版本...

16350
来自专栏网站漏洞修复

网站安全防护公司渗透测试执行命令漏洞

哈喽大家好,近期我们Sine安全对客户平台进行渗透测试的时候,发现有一些命令执行的漏洞测试语句和函数,导致服务器被提权被入侵,上一节提到XSS跨站脚本攻击检测方...

8520
来自专栏前端自习课

【JS】376- Axios 使用指南

1、 利用npm安装npm install axios --save 2、 利用bower安装bower install axios --save 3、 直接利...

9320
来自专栏网站漏洞修复

渗透测试 跨站攻击手法剖析

上一节讲到了渗透测试中xss跨站攻击检测方法和防护,这一节也是关于跨站攻击的另一个手法CSRF,很多客户找到我们Sinesafe想要了解更多的跨站攻击检测方法以...

10840
来自专栏TestQA

Flask支持正则路径匹配

•default([^/].*?)•string•int•float•path•uuid

9010
来自专栏网络攻防实战知识交流

phpstudy RCE 复现

16150
来自专栏网站漏洞修复

渗透测试该如何全面检测网站漏洞

昨天给大家普及到了渗透测试中执行命令漏洞的检测方法,今天抽出时间由我们Sine安全的渗透工程师来讲下遇到文件包含漏洞以及模板注入漏洞的检测方法和防御手段,本文仅...

8820
来自专栏小詹同学

13 个适合『中级开发者』练手的项目

该项目设计的主要目标是聚合内容。首先,我们需要知道内容聚合器从哪些站点获取内容。然后,使用请求库来发送 HTTP 请求,并使用 BeautifulSoup 解析...

12440
来自专栏毛利学Python

HTTP 协议格式

参考:https://www.cnblogs.com/breka/articles/9791664.html

10950
来自专栏Jerry的SAP技术分享

如何基于Restful ABAP Programming模型开发并部署一个支持增删改查的Fiori应用

Jerry之前的文章30分钟用Restful ABAP Programming模型开发一个支持增删改查的Fiori应用 发布之后,有朋友问我,“没错, 我是在你...

9120

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励