php-fpm在nginx特定環境下的任意代碼執行漏洞（CVE-2019-11043）

• 2019 年 11 月 11 日
• 筆記

目錄

0x01 漏洞介紹

0x02 漏洞影響

0x03 漏洞復現

0x01 漏洞介紹

在長亭科技舉辦的 Real World CTF 中，國外安全研究員 Andrew Danau 在解決一道 CTF 題目時發現，向目標服務器 URL 發送%0a符號時，服務返回異常，疑似存在漏洞。

在nginx上，fastcgi_split_path_info處理帶有%0a的請求時，會因為遇到換行符n，導致PATH_INFO為空，而在php-fpm對PATH_INFO進行處理時，對其值為空時的處理存在邏輯問題，從而導致遠程代碼執行漏洞

在fpm_main.c文件的第1150行代碼可以很明顯的看出來，問題的所在

https://github.com/php/php-src/blob/master/sapi/fpm/fpm/fpm_main.c#L1150

0x02 漏洞影響

服務器環境為nginx + php-fpm，並且nginx的配置像下面這樣

location ~ [^/].php(/|$) {    ...   fastcgi_split_path_info ^(.+?.php)(/.*)$;   fastcgi_param PATH_INFO      $fastcgi_path_info;   fastcgi_pass   php:9000;    ...  }

另外，PHP 5.6版本也受此漏洞影響，但目前只能 Crash，不可以遠程代碼執行：

PHP 7.0 版本  PHP 7.1 版本  PHP 7.2 版本  PHP 7.3 版本

如果使用了nginx官方提供的默認配置，將會收到影響

https://www.nginx.com/resources/wiki/start/topics/examples/phpfcgi/

0x03 漏洞復現

在vulhub上已經有了可以利用的漏洞環境，直接pull下來進行復現即可

使用的exp是國外研究員的go版本的

https://github.com/neex/phuip-fpizdam

自己去pull環境就可以了

完後就是復現操作

訪問http://your-ip:8080/index.php

然後我們使用vulhub中使用的go版本的exp

先安裝golang環境

然後將exp部署到本地並利用

成功利用

這裡還需要注意一下，由於只有部分php-fpm子進程受到了污染，所以請多執行幾次命令