PHP远程代码执行漏洞分析(CVE2019-11043)

最新推荐文章于 2025-02-09 22:29:45 发布
原创 最新推荐文章于 2025-02-09 22:29:45 发布 · 1.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细分析了PHP远程代码执行漏洞CVE2019-11043,该漏洞影响Nginx + php-fpm配置的服务器。攻击者能通过精心构造的payload触发远程代码执行,可能导致服务器被植入后门。建议受影响的运维人员检查配置,升级补丁或启用官方推荐的安全配置。

PHP远程代码执行漏洞分析(CVE2019-11043)

近日,美创安全实验室监测到PHP官方披露了Nginx + php-fpm部分配置下存在的远程代码执行高危漏洞(CVE2019-11043),攻击者可利用该漏洞对目标网站进行远程代码执行攻击。虽然此漏洞的影响面有限,但由于配置文件的开放性,还请使用niginx + php-fpm的运维人员及时做好自检自查工作。

0x00漏洞时间线

9月14日 至18日,国外安全研究员Andrew Danau在参加Real World CTF中发现,向目标服务器URL发送 %0a 符号时,服务返回异常,疑似存在漏洞。
9月26日,PHP官方发布漏洞通告,其中指出:使用Nginx + php-fpm的服务器,在部分配置下,存在远程代码执行漏洞,并且该配置已被广泛使用危害较大。
10月21日至22日,PHP官方发布漏洞更新,该漏洞POC公开。
10月24日 美创第59号实验室发布漏洞预警。

0x01漏洞描述

Nginx上fastcgi_split_path_info在处理带有%0a的请求时,会因为遇到换行符\n导致PATH_INFO为空。而php-fpm在处理PATH_INFO为空的情况下,存在逻辑缺陷。攻击者通过精心构造和利用的PAYLOAD,可以导致远程代码执行。但Nginx使用的这个fastcgi配置,并非Nginx默认配置。

0x02受影响的版本

使用Nginx + php-fpm配置的服务器,并且在nginx/conf/nginx.confg配置文件中采用如下配置的时候,都会出现RCE漏洞

Location ~[^/]\.php(/|$){
  ...
  fastcg
最低0.47元/天 解锁文章
[ vulhub漏洞复现篇 ] Drupal 远程代码执行漏洞CVE-2019-6339)
qq_51577576的博客
02-20 999
[ vulhub漏洞复现篇 ] Drupal 远程代码执行漏洞CVE-2019-6339) Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞远程攻击者可利用该漏洞执行任意的php代码。
Ngnix PHP-FPM 远程代码执行漏洞复现(CVE-2019-11043)
K8哥哥
12-26 1091
漏洞简介 PHP-FPM 远程代码执行漏洞(CVE-2019-11043) 在长亭科技举办的 Real World CTF 中,国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞。 在使用一些有错误的Nginx配置的情况下,通过恶意构造的数据包,即可让PHP-FPM执行任意代码。 Example 和Lad...
漏洞复现】CVE-2019-11043PHP远程代码执行漏洞)信息安全论文_含漏洞复现完整过程_含Linux环境go语言编译环境安装
m0_74823434的博客
01-21 787
PHP5.4版本之前,Nginx处理PHP的流程是调用php-fpm,php-fpm再创建进程,调用php-cgi,以此实现了Ngixn对PHP的解析问题,此时php-fpm起到的是管理php-cgi的作用。fast-cgi协议改进了进程的处理模式,当一次通信完成后,通信进程会得以保留,不会杀死通信使用的进程,其他的通信还可以继续使用这个进程,这样一来,就大大提升了系统资源使用效率。最后,信息安全是一个持续的过程,需要不断地学习和更新知识,跟踪最新的漏洞和攻击技术,并采取相应的防护措施。
CVE-2019-11043PHP远程代码执行漏洞)复现
永远是少年
12-11 3396
今天继续给大家介绍渗透测试相关知识,本文主要内容是CVE-2019-11043PHP远程代码执行漏洞)复现。 一、CVE-2019-11043PHP远程代码执行漏洞)简介 二、CVE-2019-11043PHP远程代码执行漏洞漏洞环境搭建 三、CVE-2019-11043PHP远程代码执行漏洞漏洞利用工具安装 四、CVE-2019-11043PHP远程代码执行漏洞)复现
CVE-2019-11043PHP远程代码执行漏洞
m0_51468027的博客
02-12 9743
一、漏洞描述   CVE-2019-11043 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码。   向Nginx + PHP-FPM的服务器 URL发送 %0a 时,服务器返回异常。   该漏洞需要在nginx.conf中进行特定配置才能触发。具体配置如下: location ~ [^/]\.php(/|$) { ... fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_
PHP-FPM 远程代码执行漏洞CVE-2019-11043)复现
Nai_zui_jiang的博客
09-08 612
1、下载go,这里使用 go1.22.5 版本,可替换为最新版本。切换目录到vulhub/php/CVE-2019-11043下。# 4、当前shell生效(或重启系统使环境变量永久生效)# 7、设置代理,以便国内下载依赖包加速。浏览器进行访问,成功复现,输入?# 5、验证是否安装成功。# 3、设置环境变量。# 6、启用go模块。
php远程代码执行 (CVE-2019-11043)
Cherish what you have!
01-20 558
PHP即“超文本预处理器”,是在服务器端执行的脚本语言,尤其适用于Web开发并可嵌入HTML中。PHP语法利用了C、Java和Perl,该语言的主要目标是允许web开发人员快速编写动态网页。该漏洞位于PHP-FPM模块的env_path_info函数,漏洞实际上是有个内存下溢破坏漏洞,攻击者利用该漏洞结合其他漏洞利用可以让攻击者在有漏洞的web网站上执行任意代码。进入phuip-fpizdam的目录,执行命令。
漏洞复现】PHP-FPM 远程代码执行漏洞CVE-2019-11043
Hi~ 土拨鼠
12-26 718
文章目录一、漏洞简介二、漏洞环境准备三、漏洞复现 一、漏洞简介 CVE-2019-11043 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码。 向Nginx + PHP-FPM的服务器 URL发送换行符%0a 时,服务器返回异常。该漏洞需要在nginx.conf 中进行特定配置才能触发。具体配置如下: location ~ [^/]\.php(/|$) { ... fastcgi_split_path_info ^(.+?\.p
CVE-2019-11043
Dikesi的博客
02-09 863
PHP FPM 远程代码执行漏洞
CVE-2019-11043:Neex的(PoC)CVE-2019-11043 Python版本
03-08
PoC CVE-2019-11043 CVE-2019-11043漏洞利用的Python版本 此PoC仍然是草稿,请使用编写的漏洞利用漏洞分析: : PoC设定 只需运行docker compose即可启动nginx和php-fpm: # docker-compose up -d Creating network " cve-2019-11043-git_app_net " with driver " bridge " Creating php ... done Creating nginx ... done 如果您想阅读php-fpm日志,可以运行: docker logs --tail 10 --follow php 开发 # python3 exploit.py --url http://localhost/index.php [ * ] QSL candidate:
PHP程序常见漏洞分析.rar
07-09
PHP程序常见漏洞分析
CVE-2019-1253:CVE-2019-1253的Poc
03-09
CVE-2019-1253 原始Poc已发送给MSRC。 此问题已在2019年9月“星期二”定期更新中修复。 分配给CVE-2019-1253-Windows特权提升漏洞。 有两种PoC:我最初发送给MSRC的PoC位于“ AppxExploit_Edge”目录下。 AppxExploit_Edge PoC可以很好地运行,但仅适用于未在9月(2019)更新中修补的Windows 10(所有版本)。 另一个PoC基于Cortana,位于“ AppxExploit_Cortana”目录下,它是经过实验的,从未发送给MSRC。 但是,有趣的是,它确实可以与Windows Server 2019一起使用,并且它可以提供USER FULL访问权限,尽管由于竞争条件而有些不稳定,但通常总是在第一次使用。 阅读目录项目中的自述文件,它应该可以自我解释。 我建议您使用VS2017(或您喜欢的任何东
PHP漏洞全解(详细介绍)
10-27
针对PHP的网站主要存在下面几种攻击方式,这里介绍下,大家在书写php代码的时候一定要注意下
CVE2019-11043漏洞复现
daqiangdetianxia的博客
10-05 620
知其然,知其所以然。 原理:https://github.com/neex/phuip-fpizdam/blob/master/ZeroNights2019.pdf docker使用别人搭建好的环境 git clone https://github.com/vulhub/vulhub.git //git将vulhub下载到本地 cd vulhub/php/CVE-2019-11043 //进入CVE-2019-11043的目录 docker-compose up -d //下载.
CVE漏洞复现-CVE-2019-11043-PHP-FPM 远程代码执行漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-27 1136
来自Wallarm的安全研究员Andrew Danau在9月14-16号举办的Real World CTF中,意外的向服务器发送%0a(换行符)时,服务器返回异常信息。由此发现了这个0day漏洞当使用特定的 fastcgi 配置时,存在远程代码执行漏洞,但这个配置并非是Nginx的默认配置。只有当fastcgi_split_path_info 字段被配置为 ^(.+?时,攻击者可以通过精心构造的payload,造成远程代码执行漏洞。由于该配置已被广泛使用,所以危害较大。
CVE-2019-11043 PHP在Nginx配置下任意代码执行漏洞
潜心学安全的小白
10-26 1074
目录漏洞背景漏洞影响版本漏洞成因漏洞复现环境搭建① github下载vulhub② 启动漏洞环境③ 安装go语言漏洞利用修复建议参考链接 漏洞背景 2019年10月23日,PHP 官方发布了在 nginx 配置不当的情况下php-fpm 可导致远程代码执行漏洞更新。 此漏洞是由国外安全研究员 Andrew Danau 在9 月14日至18日举办的Real World CTF 中解决一道CTF题目...
pm.php漏洞,【漏洞典范】php-fpm RCE的POC的理解剖析(CVE-2019-11043)
weixin_35675101的博客
04-02 573
原标题:【漏洞典范】php-fpm RCE的POC的理解剖析(CVE-2019-11043)“此漏洞非常的棒,特别是利用写的非常的精妙,可以作为二进制结合web的漏洞利用的典范,非常值得思考和学习”,phithon师傅说。同时也是因为本人也是对结合二进制的web漏洞比较感兴趣,觉得比较的好玩,所以就自己学习和分析一波,如果哪里分析的不对,希望大家可以及时的提出斧正,一起学习进步。对这个漏洞原理有所...
PHP-FPM远程代码执行CVE-2019-11043
最新发布
07-09
### 漏洞详情 PHP-FPM(FastCGI Process Manager)是 PHP 的一个替代 FastCGI 实现,因其高效稳定的特性而广泛用于生产环境。CVE-2019-11043 是在 PHP-FPM 与 Nginx 配合使用的配置中发现的一个远程代码执行漏洞。 该漏洞的核心在于 Nginx 配置中的 `fastcgi_split_path_info` 指令使用了不安全的正则表达式。当请求的 URL 包含特定字符(如换行符 `%0a`)时,可能导致 `PATH_INFO` 参数为空,从而触发 PHP-FPM 中的路径解析错误[^3]。 具体来说,Nginx 配置如下: ```nginx location ~ [^/]\.php(/|$) { fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_pass php:9000; } ``` 在这种情况下,攻击者可以通过构造恶意请求来绕过路径限制,并最终导致任意代码执行--- ### 影响范围 此漏洞影响使用以下配置组合的服务器: - **受影响版本**:PHP-FPM 在某些特定配置下,尤其是在与 Nginx 结合使用且未正确处理 `PATH_INFO` 的情况下。 - **Nginx 配置**:使用 `fastcgi_split_path_info ^(.+?\.php)(/.*)$;` 的配置方式。 - **PHP 版本**:包括但不限于 PHP 7.1、7.2 和 7.3 的某些版本。官方修复发布于 2019 年 10 月 22 日,涉及 PHP 7.1.33、7.2.24 和 7.3.11 版本[^1]。 --- ### 修复方案 为了缓解和修复 CVE-2019-11043 漏洞,可以采取以下措施: 1. **升级 PHP 版本** 确保将 PHP 升级到官方发布的修复版本: - PHP 7.1.33 或更高 - PHP 7.2.24 或更高 - PHP 7.3.11 或更高 2. **修改 Nginx 配置** 如果无法立即升级 PHP,可以调整 Nginx 的配置以避免路径解析问题。例如,修改 `fastcgi_split_path_info` 的正则表达式为更严格的匹配规则: ```nginx location ~ \.php$ { fastcgi_split_path_info ^(.+\.php)(.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_pass php:9000; } ``` 上述配置通过移除 `[^\]` 部分并简化正则表达式,减少潜在的解析异常。 3. **过滤特殊字符** 在 Nginx 层面对请求 URI 进行检查,阻止包含非法字符(如 `%0a`)的请求进入后端处理流程。例如: ```nginx if ($request_uri ~* "%0a") { return 403; } ``` 4. **启用 WAF(Web Application Firewall)** 使用 Web 应用防火墙对传入请求进行过滤,识别并阻断可能利用该漏洞的攻击流量。 5. **最小化暴露面** 对于不需要动态脚本执行的目录,应明确禁止 `.php` 文件的执行权限,防止攻击者上传恶意脚本并执行。 --- ###
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值