php-fpm在nginx特定環境下的任意代碼執行漏洞（CVE-2019-11043）

目錄

0x01 漏洞介紹

0x02 漏洞影響

0x03 漏洞復現

0x01 漏洞介紹

在長亭科技舉辦的 Real World CTF 中，國外安全研究員 Andrew Danau 在解決一道 CTF 題目時發現，向目標服務器 URL 發送%0a符號時，服務返回異常，疑似存在漏洞。

在nginx上，fastcgi_split_path_info處理帶有%0a的請求時，會由於遇到換行符\n，致使PATH_INFO爲空，而在php-fpm對PATH_INFO進行處理時，對其值爲空時的處理存在邏輯問題，從而致使遠程代碼執行漏洞

在fpm_main.c文件的第1150行代碼能夠很明顯的看出來，問題的所在

https://github.com/php/php-src/blob/master/sapi/fpm/fpm/fpm_main.c#L1150

0x02 漏洞影響

服務器環境爲nginx + php-fpm，而且nginx的配置像下面這樣

location ~ [^/]\.php(/|$) {
  ...
 fastcgi_split_path_info ^(.+?\.php)(/.*)$;
 fastcgi_param PATH_INFO      $fastcgi_path_info;
 fastcgi_pass   php:9000;
  ...
}

另外，PHP 5.6版本也受此漏洞影響，但目前只能 Crash，不能夠遠程代碼執行：

PHP 7.0 版本
PHP 7.1 版本
PHP 7.2 版本
PHP 7.3 版本

若是使用了nginx官方提供的默認配置，將會收到影響

https://www.nginx.com/resources/wiki/start/topics/examples/phpfcgi/

0x03 漏洞復現

在vulhub上已經有了能夠利用的漏洞環境，直接pull下來進行復現便可

使用的exp是國外研究員的go版本的

https://github.com/neex/phuip-fpizdam

本身去pull環境就能夠了

完後就是復現操做

訪問http://your-ip:8080/index.php

而後咱們使用vulhub中使用的go版本的exp

先安裝golang環境

而後將exp部署到本地並利用

成功利用

這裏還須要注意一下，因爲只有部分php-fpm子進程受到了污染，因此請多執行幾回命令

本文由博客一文多發平臺 OpenWrite 發佈！