登录  /  注册
首页 > 头条 > 正文

预警!!!PHP 远程代码执行漏洞

发布: 2019-10-24 10:38:58
转载
3997人浏览过

预警!!!PHP 远程代码执行漏洞

一、前言

2019年10月22日,在github上公开了一个关于PHP的远程代码执行漏洞。

斗象智能安全CRS产品已全面支持该漏洞的检测与验证,用户可直接登陆www.riskivy.com 进行验证。

二、漏洞简介

此漏洞由于不正确的Nginx+php-fpm配置导致服务端存在在处理%0a时存在不正确解析方式,可能导致任意代码执行。

三、漏洞危害

经斗象安全应急响应团队分析,攻击者可以通过精心构造的请求包在错误配置的PHP服务器上进行远程代码执行。

相关推荐:《php入门教程

四、影响范围

产品

PHP

版本

5.6-7.x

组件

PHP

五、漏洞复现

经斗象安全应急响应团队确认,漏洞确实存在,5.6以上版本Crash, 7.X版本RCE 

通过请求包写入日志

1571884078(1).png

查看phpinfo可以发现

1571884091(1).png

查看/tmp/a

1571884102(1).png

通过访问2.php可以实现远程代码执行

1571884113(1).png

1571884123(1).png

六、修复方案

1、请结合实际业务场景,在不影响正常业务的情况下,在 Nginx 的配置文件中删除如下配置:

fastcgi_split_path_info ^(.+?\.php)(/.*)$;
fastcgi_param PATH_INFO  $fastcgi_path_info;
登录后复制

七、参考

https://github.com/neex/phuip-fpizdam

智能AI问答
PHP中文网智能助手能迅速回答你的编程问题,提供实时的代码和解决方案,帮助你解决各种难题。不仅如此,它还能提供编程资源和学习指导,帮助你快速提升编程技能。无论你是初学者还是专业人士,AI智能助手都能成为你的可靠助手,助力你在编程领域取得更大的成就。
相关标签:
来源:微信网
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
最新问题
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习
PHP中文网抖音号
发现有趣的

Copyright 2014-2024 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号