PHP-FPM未授权访问漏洞
一、环境
Vulhub - Docker-Compose file for vulnerability environment
docker直接搭建
二、研究步骤
我们nginx本来是监听的本地127.0.0.1:端口,但当我们监听端口写成0.0.0.0:端口,此时就有可能出现未授权访问的问题
2.1 拉取环境
2.2分析配置源码
docker中是127.0.0.1:9000但是映射给我们本地就是0.0.0.0:9000
我们先了解一下fastcgi和php以及php-fpm之间的交互关系
比如我们给传入一个数据?a=1&b=2,nginx会发送给index.php之后发送fastcgi,把其打包成一个个record,其中record主要是1和4,一个连接一个格式化,之后php-fpm将其解析为我们看得懂的key和valu,之后发送给php,php将其交给index.php后面拼接着我们的请求,index.php执行成功后返回给php-fpm,php-fpm再返回给fastcgi,fastcgi再返回给nginx,nginx返回给我们,这个是底层的流程
2.3nginx解析漏洞
看看这个靶场什么意思?
安全后缀为空,很明显这个不应该为空,这个会将任何后缀解析为php
搭建好访问之后就是一个文件提交
看一看docker镜像中自带图片的16进制,很明显最后面镶嵌了一个php的一句话木马
图片后面随便加个php就出现了
其实这个漏洞很简单,但是底层的代码是因为cgi_fix被开启所以有漏洞,而具体来说意思就是当程序发现后面的php不存在的时候,就会往上级走,发现nginx.png存在就会以php的权限去执行,这个就是解析漏洞的原理
php的cgi.fix_pathinfo解析_cgi.fix pathinfo()-CSDN博客
如何修复:1.关闭安全后缀,2.关闭cgi_fix