CVE-2019-11043 Nginx PHP 远程代码执行漏洞复现----自我学习

最新推荐文章于 2025-11-02 16:08:39 发布
原创 最新推荐文章于 2025-11-02 16:08:39 发布 · 3.9k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #php漏洞复现

发现于Nginx+php-fpm配置下,特定条件下存在远程代码执行漏洞。当fastcgi_split_path_info处理含有%0a的请求时,因PATH_INFO为空,php-fpm逻辑缺陷允许攻击者执行远程代码。

漏洞简介:

来自Wallarm的安全研究员Andrew Danau在9月14-16号举办的Real World CTF中,意外的向服务器发送%0a(换行符)时,服务器返回异常信息。由此发现了这个0day漏洞,9月26日,PHP官方发布漏洞通告,其中指出,使用Nginx+php-fpm的服务器,在部分配置下,存在远程代码执行漏洞。并且该配置已被广泛使用,危害较大

漏洞概述:

Nginx上fastcgi_split_path_info在处理带有%0a的请求时,会因为遇到换行符\n导致PATH_INFO为空。而php-fpm在处理PATH_INFO为空的情况下,存在逻辑缺陷,攻击者通过精心构造和利用,可以导致远程代码执行。

漏洞影响版本:

Nginx+php-fpm的服务器,在使用如下配置的情况下,都有可能存在远程代码执行的漏洞

location ~ [^/]\.php(/|$) {
  ...
  fastcgi_split_path_info ^(.+?\.php)(/.*)$;
  fastcgi_param PATH_INFO       $fastcgi_path_info;
  fastcgi_pass   php:9000;
  ...
    }

漏洞复现:

使用vulhub启动环境:

github下载漏洞环境

git clone https://github.com/vulhub/vuhub/tree/master/php/CVE-2019-111043

POC下载:https://github.com/neex/phuip-fpizdam 

POC需要go语言编译,需要go语言环境(linux下go语言安装

漏洞启动后,访问http://yuo ip:8080/index.php即可查看到一个默认页面

现在编译POC,进入下载好的poc文件夹内,执行go build进行编译,编译好后,文件内出现phuip-fpizdam可执行文件

如果编译失败,显示timeout,则需要设置代理,执行以下语句添加环境变量:

export GOPROXY=https://goproxy.io

使用编译好的工具,发送数据包:

这里已经成功执行,访问http://ip:8080/index.php?a=whoami  即可查看到命令已经成功执行。

注意:因为php-fpm会启动多个子进程,在访问index.php?a=id时需要多访问几次,以访问被污染的进程

漏洞修复方式:

1.在不影响正常业务的情况下,删除Nginx配置文件中如下配置:

fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_paramPATH_INFO       $fastcgi_path_info;

2.官网下载最新补丁

CVE-2019-11043 PHP-fpm 远程代码执行漏洞复现
afei001
01-21 689
目录 1.漏洞概述 2.漏洞原理 3.影响版本 4.漏洞等级 5.漏洞复现 5.1 Vulnhub搭建CVE-2019-11043漏洞环境 5.2 CVE-2019-11043漏洞利用 (1)phuip-fpizdam工具利用 (2)github CVE-2019-11043_RCE_1.py (3)CVE-2019-11043_RCE_2.py 6.漏洞修复 1.漏洞概述 在长亭科技举办的 Real World CTF中,国外安全研究员 Andrew Dana...
Nginx 解析漏洞复现
天天学安全专属博客
07-18 1339
Nginx 解析漏洞复现
漏洞复现CVE-2019-11043PHP远程代码执行漏洞)信息安全论文_含漏洞复现完整过程_含Linux环境go语言编译环境安装
最新发布
2509_93971525的博客
11-02 761
PHP5.4版本之前,Nginx处理PHP的流程是调用php-fpm,php-fpm再创建进程,调用php-cgi,以此实现了Ngixn对PHP的解析问题,此时php-fpm起到的是管理php-cgi的作用。fast-cgi协议改进了进程的处理模式,当一次通信完成后,通信进程会得以保留,不会杀死通信使用的进程,其他的通信还可以继续使用这个进程,这样一来,就大大提升了系统资源使用效率。最后,信息安全是一个持续的过程,需要不断地学习和更新知识,跟踪最新的漏洞和攻击技术,并采取相应的防护措施。
Apache nginx解析漏洞复现
m0_56578216的博客
09-07 546
nginx解压后放到c盘根目录下:运行startup.bat启动环境:在HTML文件夹下有它的主页文件:在bp的浏览器输入10.9.75.164打开nginx:访问主页目录下的info.php文件可以正常访问:info.png该文件是一个图片马:尝试访问后不能显示:用bp抓包,发送到repeater模块,修改字段为info.png%00.php,发送后可以执行该图片马:nginx在遇到后缀名有php的文件时,会将该文件给php解释器处理,在读取文件时如果遇到00时就读取结束,所以nginx会将info.p
PHP远程代码执行漏洞(CVE-2019-11043)复现
m_ing
07-28 2227
漏洞说明# 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码。 向Nginx + PHP-FPM的服务器 URL发送 %0a 时,服务器返回异常。 该漏洞需要在nginx.conf中进行特定配置才能触发 漏洞编号# CVE-2019-11043 影响范围# 在 Nginx + PHP-FPM 环境下,当启用了上述 Nginx 配置后,以下 PHP 版本受本次漏洞影响,另外,PHP 5.6版本也受此漏洞影响,但目前只能 Crash,不可以远
Nginx漏洞复现
weixin_58163202的博客
02-08 1410
nignx漏洞复现
CVE-2019-11043 Nginx PHP 远程代码执行漏洞复现
墨鱼菜鸡
10-24 482
漏洞背景:来自Wallarm的安全研究员Andrew Danau在9月14-16号举办的Real World CTF中,意外的向服务器发送%0a(换行符)时,服务器返回异常信息。由此发现了这个0day漏洞 漏洞描述:当Nginx使用特定的 fastcgi 配置时,存在远程代码执行漏洞,但这个配置并非是Ng...
CVE-2019-11043 PHPNginx配置下任意代码执行漏洞
潜心学安全的小白
10-26 1079
目录漏洞背景漏洞影响版本漏洞成因漏洞复现环境搭建① github下载vulhub② 启动漏洞环境③ 安装go语言漏洞利用修复建议参考链接 漏洞背景 2019年10月23日,PHP 官方发布了在 nginx 配置不当的情况下php-fpm 可导致远程代码执行漏洞更新。 此漏洞是由国外安全研究员 Andrew Danau 在9 月14日至18日举办的Real World CTF 中解决一道CTF题目...
Ngnix PHP-FPM 远程代码执行漏洞复现(CVE-2019-11043)
K8哥哥
12-26 1098
漏洞简介 PHP-FPM 远程代码执行漏洞(CVE-2019-11043) 在长亭科技举办的 Real World CTF 中,国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞。 在使用一些有错误的Nginx配置的情况下,通过恶意构造的数据包,即可让PHP-FPM执行任意代码。 Example 和Lad...
Nginx 文件解析漏洞复现
qq_42754807的博客
05-28 924
nginx文件解析漏洞的修复
CVE-2019-11043:Neex的(PoC)CVE-2019-11043 Python版本
03-08
PoC CVE-2019-11043 CVE-2019-11043漏洞利用的Python版本 此PoC仍然是草稿,请使用编写的漏洞利用漏洞分析: : PoC设定 只需运行docker compose即可启动nginxphp-fpm: # docker-compose up -d Creating network " cve-2019-11043-git_app_net " with driver " bridge " Creating php ... done Creating nginx ... done 如果您想阅读php-fpm日志,可以运行: docker logs --tail 10 --follow php 开发 # python3 exploit.py --url http://localhost/index.php [ * ] QSL candidate:
CVE-2019-11043PHP远程代码执行漏洞
Charles D
01-12 363
CVE-2019-11043PHP远程代码执行漏洞)
CVE-2019-11043PHP-FPM在Nginx特定配置下远程代码执行漏洞
冠霖L的博客
11-03 696
0x00 漏洞介绍 nginx + php-fpm 配置不当,当nginx配置文件中有fastcgi_split_path_info模块,在处理带%0a的请求时,对换行符\n 处置不当使得将PATH_INFO值置为空,从而导致可以通过FCGI_PUTENV与PHP_VALUE相结合,修改当前的php-fpm进程中的php配置,在特殊构造的配置生效的情况下可以触发任意代码执行。 0x01 影响范围 ...
PHP-FPM 远程代码执行漏洞CVE-2019-11043复现
LRainner的博客
03-03 4444
PHP-FPM 远程代码执行漏洞CVE-2019-11043复现 环境搭建 git clone https://github.com/vulhub/vulhub.git cd vulhub/php/CVE-2019-11043 docker-compose up -d 访问 安装漏洞利用工具 git clone https://github.com/neex/phuip-fpizdam.git cd phuip-fpizdam go env -w GOPROXY=https://goproxy.c
CVE-2019-11043 Nginx配置详解
永远是少年
12-11 1176
今天继续给大家介绍渗透测试相关知识,本文主要内容是CVE-2019-11043 Nginx配置详解。 一、Nginx处理PHP文件与Fastcgi 二、Nginx配置中location相关含义 三、CVE-2019-11043漏洞原因
CVE-2019-11043漏洞复现
WFC1006848997的博客
01-12 479
CVE-2019-11043漏洞复现 0x01漏洞简介 nginx + php-fpm 配置不当,当nginx配置文件中有fastcgi_split_path_info,却没有if(!-f $document_root$fastcgi_script_name){return 404;}的时候就会导致远程代码执行。 向Nginx + PHP-FPM的服务器 URL发送 %0a 时,服务器返回异常。 该漏洞需要在nginx.conf中进行特定配置才能触发。具体配置如下: location ~ [^/]\.php
CVE-2023-7130复现
06-15
### CVE-2023-7130 漏洞概述与复现步骤 CVE-2023-7130 是一个与 PHP 的 `serialize` 和 `unserialize` 函数相关的漏洞,主要影响使用了某些特定类的 PHP 应用程序。此漏洞可能导致远程代码执行(RCE),攻击者可以通过构造恶意的序列化数据来触发漏洞[^4]。 以下是 CVE-2023-7130 的复现步骤: #### 环境准备 为了复现漏洞,需要搭建一个支持 PHP 的测试环境,并确保目标应用程序中存在可利用的类和方法。 1. 安装 PHP 环境:确保 PHP 版本符合漏洞影响范围(例如 PHP 8.1 或更低版本)。 2. 配置 Web 服务器:可以使用 Apache 或 Nginx,并将目标 PHP 文件部署到服务器根目录。 3. 目标代码示例: ```php <?php class VulnerableClass { public $command; function __destruct() { if ($this->command) { system($this->command); // 危险操作 } } } if (isset($_GET['data'])) { $data = $_GET['data']; unserialize($data); } ?> ``` 上述代码中,`VulnerableClass` 类的 `__destruct` 方法会执行系统命令,而 `unserialize` 函数直接处理用户输入的数据,这为攻击者提供了利用点。 #### 构造恶意序列化数据 攻击者可以通过构造恶意的序列化字符串来触发漏洞。以下是一个示例: ```php O:14:"VulnerableClass":1:{s:7:"command";s:15:"echo 'PWNED' > /tmp/pwned";} ``` 将此序列化字符串通过 URL 参数传递给目标脚本: ``` http://localhost/vulnerable.php?data=O:14:"VulnerableClass":1:{s:7:"command";s:15:"echo 'PWNED' > /tmp/pwned";} ``` #### 验证漏洞 如果漏洞成功触发,目标服务器上将生成一个名为 `/tmp/pwned` 的文件,内容为 `PWNED`。这表明攻击者已成功执行了任意命令。 --- ### 防御措施 为了避免此类漏洞的影响,建议采取以下防御措施: 1. **禁用危险函数**:避免在代码中直接使用 `system`、`exec` 等危险函数。 2. **输入验证**:对所有用户输入进行严格验证,尤其是传递给 `unserialize` 的数据。 3. **使用安全替代方案**:推荐使用 JSON 格式代替 PHP 的序列化机制,以减少潜在风险。 4. **更新 PHP 版本**:确保使用的 PHP 版本已修复相关漏洞[^5]。 --- ### 注意事项 在复现漏洞时,请务必遵守相关法律法规,仅在授权环境下进行测试。未经授权的渗透测试或漏洞利用行为可能触犯法律。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值