CVE-2019-11043: PHP 7 RCE漏洞分析

ang010ela 漏洞 2019年10月28日发布
Favorite收藏

导语:​研究人员发现PHP 7的RCE漏洞的在野利用。

研究人员在PHP 7中找出有个远程代码执行(RCE)漏洞,该漏洞CVE编号为CVE-2019-11043。攻击者利用该漏洞只需要访问通过精心伪造的URL就可以在服务器上运行命令。

漏洞简介

该漏洞位于PHP-FPM模块的env_path_info函数,漏洞实际上是有个内存下溢破坏漏洞,攻击者利用该漏洞结合其他漏洞利用可以让攻击者在有漏洞的web网站上执行任意代码。该漏洞影响的是PHP-FPM的特定配置的网站。PHP-FPM是一种可选的PHP FastCGI实现,可以为PHP编程语言编写的脚本来提供高级和高效地处理。

在特定的nginx + php-fpm配置中,web用户就可能会进行代码执行。有漏洞的配置如下所示:

location ~ [^/]\.php(/|$) {
  ...
  fastcgi_split_path_info ^(.+?\.php)(/.*)$;
  fastcgi_param PATH_INFO       $fastcgi_path_info;
  fastcgi_pass   php:9000;
  ...
}

从中可以看出,以上代码上缺乏脚本检查,因此攻击者可以用sploit来触发漏洞。

漏洞利用条件

fastcgi_split_path_info directive必须存在,并且含有以 ^开头,以 $结尾的正则表达式。

必须通过fastcgi_param PATH_INFO $fastcgi_path_info;语句来实现 PATH_INFO变量。首先,研究人员认为必须在fastcgi_params 文件中。

没有文件存在性检查,比如try_files $uri =404 or if (-f $uri)。如果Nginx在FastCGI转发前释放请求到不存在的脚本,研究人员创建的请求就不会到达php-fpm。

虽然漏洞利用只在PHP 7+版本上工作,但该漏洞本身存在于之前的版本中。很长时间内,php-fpm都不会限制脚本的扩展,比如/avatar.png/some-fake-shit.php可以将 avatar.png 作为php脚本执行。PoC代码见:https://github.com/neex/phuip-fpizdam

GitHub上的PoC脚本可以通过发送特殊伪造的请求来查询目标web服务器来识别是否受到该漏洞的影响。识别了有漏洞的目标后,攻击者可以在URL中加上'?a='并发送伪造的请求到有漏洞的web服务器。

建议

因为PoC漏洞利用已经在GitHub上公布了,虽然补丁已经发布了,但是黑客可能已经利用该漏洞了。研究人员建议用户更新PHP到最新的PHP 7.3.11 或PHP 7.2.24

本文翻译自:https://thehackernews.com/2019/10/nginx-php-fpm-hacking.html如若转载,请注明原文地址: https://www.4hou.com/vulnerable/21195.html
点赞 12
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论