php-fpm在nginx特定环境下的任意代码执行漏洞（CVE-2019-11043）

目录

0x01 漏洞介绍

0x02 漏洞影响

0x03 漏洞复现

0x01 漏洞介绍

在长亭科技举办的 Real World CTF 中，国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现，向目标服务器 URL 发送%0a符号时，服务返回异常，疑似存在漏洞。

在nginx上，fastcgi_split_path_info处理带有%0a的请求时，会由于遇到换行符\n，致使PATH_INFO为空，而在php-fpm对PATH_INFO进行处理时，对其值为空时的处理存在逻辑问题，从而致使远程代码执行漏洞

在fpm_main.c文件的第1150行代码能够很明显的看出来，问题的所在

https://github.com/php/php-src/blob/master/sapi/fpm/fpm/fpm_main.c#L1150

0x02 漏洞影响

服务器环境为nginx + php-fpm，而且nginx的配置像下面这样

location ~ [^/]\.php(/|$) {
  ...
 fastcgi_split_path_info ^(.+?\.php)(/.*)$;
 fastcgi_param PATH_INFO      $fastcgi_path_info;
 fastcgi_pass   php:9000;
  ...
}

另外，PHP 5.6版本也受此漏洞影响，但目前只能 Crash，不能够远程代码执行：

PHP 7.0 版本
PHP 7.1 版本
PHP 7.2 版本
PHP 7.3 版本

若是使用了nginx官方提供的默认配置，将会收到影响

https://www.nginx.com/resources/wiki/start/topics/examples/phpfcgi/

0x03 漏洞复现

在vulhub上已经有了能够利用的漏洞环境，直接pull下来进行复现便可

使用的exp是国外研究员的go版本的

https://github.com/neex/phuip-fpizdam

本身去pull环境就能够了

完后就是复现操做

访问http://your-ip:8080/index.php

而后咱们使用vulhub中使用的go版本的exp

先安装golang环境

而后将exp部署到本地并利用

成功利用

这里还须要注意一下，因为只有部分php-fpm子进程受到了污染，因此请多执行几回命令

本文由博客一文多发平台 OpenWrite 发布！