CVE-2019-11043-PHP-FPM 远程代码执行漏洞

漏洞描述

来自Wallarm的安全研究员Andrew Danau在9月14-16号举办的Real World CTF中，意外的向服务器发送%0a(换行符)时，服务器返回异常信息。由此发现了这个0day漏洞

当Nginx使用特定的 fastcgi 配置时，存在远程代码执行漏洞，但这个配置并非是Nginx的默认配置。只有当fastcgi_split_path_info 字段被配置为 ^(.+?\.php)(/.*)$; 时，攻击者可以通过精心构造的payload，造成远程代码执行漏洞。由于该配置已被广泛使用，所以危害较大

漏洞影响版本

当 Nginx + php-fpm 的服务器有如下配置的时候，都会出现远程代码执行漏洞

location ~ [^/]\.php(/|$) {      
  ...      
  fastcgi_split_path_info ^(.+?\.php)(/.*)$;      
  fastcgi_param PATH_INFO       $fastcgi_path_info;      
  fastcgi_pass   php:9000;      
  ...      
}

漏洞复现

本次复现采用Vulhub靶场环境，需要在本地搭建Vulhub靶场

进入靶场环境，使用以下命令启动环境：

docker-compose up -d

检测环境端口是否开放

docker-compose ps

访问目标URL路径：http://192.168.0.109:8080/

下载漏洞利用poc：https://github.com/neex/phuip-fpizdam

到该目录下，执行以下命令(需要有go语言的环境)

go run . "http://192.168.0.109:8080/index.php"

访问网站 http://192.168.0.109:8080/index.php?a=id

注：由于 php-fpm 会启动多个子进程，所以在访问 /index.php?a= 时需要多访问几次，以访问到被污染的进程。

漏洞修复

删除 Nginx 配置文件中的如下配置：

fastcgi_split_path_info ^(.+?\.php)(/.*)$;      
fastcgi_paramPATH_INFO       $fastcgi_path_info;