CVE-2019-11043-PHP-FPM 远程代码执行漏洞
漏洞描述
来自Wallarm的安全研究员Andrew Danau在9月14-16号举办的Real World CTF中,意外的向服务器发送%0a(换行符)时,服务器返回异常信息。由此发现了这个0day漏洞
当Nginx使用特定的 fastcgi 配置时,存在远程代码执行漏洞,但这个配置并非是Nginx的默认配置。只有当fastcgi_split_path_info 字段被配置为 ^(.+?\.php)(/.*)$; 时,攻击者可以通过精心构造的payload,造成远程代码执行漏洞。由于该配置已被广泛使用,所以危害较大
漏洞影响版本
当 Nginx + php-fpm 的服务器有如下配置的时候,都会出现远程代码执行漏洞
location ~ [^/]\.php(/|$) {
...
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}
漏洞复现
本次复现采用Vulhub靶场环境,需要在本地搭建Vulhub靶场
进入靶场环境,使用以下命令启动环境:
docker-compose up -d
检测环境端口是否开放
docker-compose ps
访问目标URL路径:http://192.168.0.109:8080/
下载漏洞利用poc:https://github.com/neex/phuip-fpizdam
到该目录下,执行以下命令(需要有go语言的环境)
go run . "http://192.168.0.109:8080/index.php"
访问网站 http://192.168.0.109:8080/index.php?a=id
注:由于 php-fpm 会启动多个子进程,所以在访问 /index.php?a= 时需要多访问几次,以访问到被污染的进程。
漏洞修复
删除 Nginx 配置文件中的如下配置:
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_paramPATH_INFO $fastcgi_path_info;