PHP-CGI Windows平台远程代码执行漏洞复现(CVE-2024-4577)

avatar
作者
筋斗云
阅读量:1

0x01 产品简介

PHP-CGI是一种用于在Web服务器上运行PHP脚本的接口,通过CGI(公共网关接口)将PHP解释器与Web服务器连接。

0x02 漏洞概述

2024年6月,PHP官方发布新版本,修复了PHP-CGI中一个远程代码执行漏洞。鉴于该漏洞无前置条件,易于利用,且默认情况下可获取操作系统权限,建议所有使用受影响版本的企业尽快升级修复,以确保安全。

漏洞成因

PHP在设计时忽略了Windows中的Best-Fit字符转换特性。当PHP-CGI在Windows平台上运行并使用特定语系(如简体中文936、繁体中文950、日文932等)时,攻击者可以构造特殊查询字符串。URL解码后,这些字符串可能包含特定非ASCII字符,这些字符在Windows系统上会被映射为连字符,从而绕过CVE-2012-1823及CVE-2012-2311补丁,构造cgi模式的命令行参数,执行任意PHP代码。

漏洞影响

该漏洞可在受影响的环境下执行任意PHP代码,从而获取操作系统权限。最严重的情况下,这可能导致服务器的完全接管,敏感数据泄露,甚至将服务器转化为发起其他攻击的跳板。

0x03 影响范围

PHP 8.3<8.3.8

PHP 8.2<8.2.20

PHP 8.1<8.1.29

其他版本官方已停止维护,可根据实际情况采取相应的缓解措施。

0x04 复现环境

FOFA:

header="Xampps_info

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!