一、漏洞介绍
1、相关背景
在web早期,页面都是以静态页面为主(如:HTML),没有动态页面的说法,所有还没有动态语言(如:PHP、JSP等)
后来Ngnix为支持PHP语言就将有出现php页面的请求给PHP相关程序来进行处理,然后将处理后的结果反馈给用户。而解决PHP的相关程序就是cgi协议,有了cgi协议以后,意味着以后出现新的动态语言(如:go语言),出现了新的Web服务器,只要遵循了cgi协议,就可以快速方便的实现语言解析器和Web服务器之间的通信问题。cgi协议的改良版本有很多,但是其中一个很具有代表性的就是fast-cgi协议。
Ngnix为解决PHP问题建立了php-cgi和php-fpm来支持cgi协议
php-cgi作用:处理和解析PHP脚本程序,通过调用PHP的php_execute_script函数来解析和运行PHP脚本
php-fpm作用:可以提供进程管理的相关功能
但在PHP5.4以后,php-fpm集成了解析功能,不在需要php-cgi解析
Ngnix处理php问题用到的Fastcgi,在Nginx实际配置中,对Fastcgi的解析,需要我们进行实际的配置存在CVE-2019-11043漏洞的Nginx相关配置如下所示:
location ~ [^/]\.php(/|$) {
fastcgi_pass 127.0.0.1:9000; //指定了FastCGI 服务器的地址
fastcgi_index index.php; //指定默认页面
include fastcgi_params; //引入FastCGI的各项参数
fastcgi_split_path_info ^(.+?\.php)(/.*)$; //漏洞出现的原因部分,匹配两个字符串,第一个匹配的是(.+?\.php),第二个是(/.*)。
fastcgi_param PATH_INFO $fastcgi_path_info; //第二个字符串会被赋值给$fastcgi_path_info参数
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; //匹配到的第一个字符串会被赋值给$fastcgi_script_name参数
}
详细解释参考:https://blog.csdn.net/weixin_40228200/article/details/128275754
2、漏洞产生原因
fastcgi_split_path_info在处理带有 %0a 的请求时,会因为遇到换行符(%0a)导致PATH_INFO为空,最终可导致任意代码执行。
3、漏洞复现
使用vulhub进行复现:https://vulhub.org/#/environments/php/CVE-2019-11043/
(1).在终端中打开vulhub文件夹进入到CVE-2019-11043目录中:cd vulhub/php/CVE-2019-11043
(2).使用命令:docker-compose build
(3).使用命令:docker-compose up -d (如果启动不起来的话是docker源的问题,换个源)
(4).查看端口:docker-compose config
(5).用浏览器访问
我们需要使用phuip-fpizdam工具来检测改漏洞
使用命令:git clone https://github.com/neex/phuip-fpizdam.git 下载
(6).进入phuip-fpizdam目录使用命令:
go env-wGOPROXY=https://goproxy.cn //需要先连接这个环境
go get -v&& go build
如果没有go命令的需要先下载go语言环境 apt install golang-go
(7).再执行命令:go run . "http://ip:8080/index.php"
我们可以在该页面中,使用参数a来传递执行的命令了
比如:pwd
由于受到php-fpm多个子进程影响,我们需要访问到php-fpm受污染的子进程才会使得上述payload执行成功,因此我们有时需要多访问几遍,才会出现相关结果。
参考:https://blog.csdn.net/weixin_40228200/article/details/128271912