严重：PHP远程代码执行漏洞复现

• 2019 年 11 月 7 日
• 筆記

0x00 简介

9 月 26 日，PHP 官方发布漏洞通告，其中指出：使用 Nginx + php-fpm 的服务器，在部分配置下，存在远程代码执行漏洞。并且该配置已被广泛使用，危害较大。

0x01 漏洞概述

Nginx 上 fastcgi_split_path_info 在处理带有 %0a 的请求时，会因为遇到换行符 n 导致 PATH_INFO 为空。而 php-fpm 在处理 PATH_INFO 为空的情况下，存在逻辑缺陷。攻击者通过精心的构造和利用，可以导致远程代码执行。

0x02 影响版本

 location ~ [^/].php(/|$) {          ···          fastcgi_split_path_info ^(.+?.php)(/.*)$;          fastcgi_param PATH_INFO       $fastcgi_path_info;          fastcgi_pass   php:9000;          ...    }  }

不可以远程代码执行：PHP 7.0/7.1/7.2/7.3

0x03 环境搭建

自行搭建：

直接vulhub一键搭建（更新真快）

git clone https://github.com/vulhub/vulhub/tree/master/php/CVE-2019-11043  cd vulhub/php/CVE-2019-11043

启动有漏洞的Nginx和PHP：

docker-compose up -d

环境启动后，访问http://ip:8080/index.php即可查看到一个默认页面。

0x04 漏洞利用

下载POC：

git clone https://github.com/neex/phuip-fpizdam

注：需要安装go语言环境

https://www.runoob.com/go/go-environment.html

进入下载poc文件夹，执行 go build 进行编译

如果编译失败，显示timeout，则需要设置代理，执行以下语句添加环境变量

export GOPROXY=https://goproxy.io

使用phuip-fpizdam编译好的工具，发送数据包：

这里已经执行成功了

访问http://ip:8080/index.php?a=whoami即可查看到命令已成功执行

注意，因为php-fpm会启动多个子进程，在访问/index.php?a=id时需要多访问几次，以访问到被污染的进程。

0x05 修复方式

在不影响正常业务的情况下，删除 Nginx 配置文件中的如下配置：

fastcgi_split_path_info ^(.+?.php)(/.*)$;

fastcgi_param PATH_INFO $fastcgi_path_info;

漏洞补丁：

https://bugs.php.net/patch-display.php?bug_id=78599&patch=0001-Fix-bug-78599-env_path_info-underflow-can-lead-to-RC.patch&revision=latest

POC：

https://github.com/neex/phuip-fpizdam

参考链接：

https://github.com/vulhub/vulhub/tree/master/php/CVE-2019-11043

https://bugs.php.net/bug.php?id=78599