PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)分析与复现

admin
admin
admin
137949
文章
113
评论
2024年6月8日14:22:28评论58 views字数 3847阅读12分49秒阅读模式
在2024.6.6今天,@Orange在他的博客发布了他即将在2024年8月Black Hat USA公开的议题《Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server!
  • https://www.blackhat.com/us-24/briefings/schedule/index.html#confusion-attacks-exploiting-hidden-semantic-ambiguity-in-apache-http-server-40227
伴随着议题的发布,今天在DEVCORE的官方博客发布了一个漏洞通报,也就是存在于windows特殊场景下的PHP CGI远程代码执行漏洞
  • https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/
接下来看看漏洞的详情

漏洞描述

CVE-2024-4577导致漏洞产生的本质其实是Windows系统内字符编码转换的Best-Fit特性导致的,相对来说PHP在这个漏洞里更像是一个受害者。
由于Windows系统内字符编码转换的Best-Fit特性导致PHP原本的安全限制被绕过,再加上一些特殊的PHP CGI环境配置导致了这个问题,最终导致漏洞利用的算是一些PHP的小技巧。

影响范围

这个漏洞理论上影响PHP的所有版本
  • PHP 8.3 < 8.3.8
  • PHP 8.2 < 8.2.20
  • PHP 8.1 < 8.1.29
除此之外的其他PHP版本官方已经不再维护了,包括PHP8.0、PHP7、PHP5在内,但是理论上来说他们都受到这个影响。

漏洞利用条件

Windows系统内字符编码转换的Best-Fit特性

前面提到过,这个漏洞的利用前提是由于Windows系统内字符编码转换的Best-Fit特性,所以第一个前提条件就是
  • 必须是Window环境
其次由于这个特性,windows必须使用以下其中之一的语言系统
  • 繁体中文 (字码页 950)
  • 简体中文 (字码页 936)
  • 日文 (字码页 932)
而且除了这3个以外,其他的语言也不能完全排除影响,凡是存在该特性的的系统都受到影响。
那什么是Best-Fit呢?或者说,为什么是Best-Fit?
说白了其实就是windows对于不同编码字符集之间转化的一个特性,可能大家对于Best-Fit很陌生,如果换一个词叫做宽字节,我想大家就会很熟悉了,说白了就是一些特殊字符在特殊字符集下转化就会转成一个正常的字符
而这里用到的就是%ad
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)分析与复现
而这个正常的字符就是-,我们可以结合php的源码来看,为什么这个-很重要
https://github.com/php/php-src/commit/4dd9a36c16#diff-680b80075cd2f8c1bbeb33b6ef6c41fb1f17ab98f28e5f87d12d82264ca99729R1798
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)分析与复现
在php的代码当中其实原本就过滤了-这个符号,在新的commit当中还加入了对0x80以上的所有字符的限制来修复这个问题。在代码的注释当中有这么一段话来解释这个问题
Something is wrong with the XAMPP installation :-(
Apache CGI will pass the query string to the command line if it doesn't contain a '='.
This can create an issue where a malicious request can pass command line arguments to
the executable. Ideally we skip argument parsing when we're in cgi or fastcgi mode,
but that breaks PHP scripts on Linux with a hashbang: `#!/php-cgi -d option=value`.
Therefore, this code only prevents passing arguments if the query string starts with a '-'.
Similarly, scripts spawned in subprocesses on Windows may have the same issue.
如果get发送的请求字符串中不包含"=",那么Apache就会把请求传到命令行作为cgi的参数。但这会导致恶意请求就可以将命令行参数传递给php,如果直接处理传参,那么会影响到以独立脚本方式运行的PHP脚本。所以只有当开头是-的时候(跳过所有空白符号)才阻止传递参数
而这个漏洞在2012年的时候就被曝光出来,就是CVE-2012-1823
https://www.leavesongs.com/PENETRATION/php-cgi-cve-2012-1823.html
当我们用%ad来代替-之后,参数传递没有被阻止,就构成了参数注入
而PHP和Apache的环境就会更特殊一点儿,其实在2024年你很难找到类似的环境,但是很有趣的是,XAMPP For Windows的默认环境就受到这个漏洞的影响。
而相对更具体的受影响的场景有两个

以CGI模式运行的PHP环境

首先不得不说,这是一个非常非常少见的场景,在2024年你几乎没办法找到一个直接以CGI模式运行的PHP环境,而且也没人会去做这样的修改。
如果你想要改出类似的设定你需要加入以下的配置
AddHandler cgi-script .php
Action cgi-script "/cgi-bin/php-cgi.exe"
或者类似于
<FilesMatch ".php$">
    SetHandler application/x-httpd-php-cgi
</FilesMatch>

Action application/x-httpd-php-cgi "/php-cgi/php-cgi.exe"
在XMAPP的默认配置当中,这部分代码也是被注释的,如果你想要测试这种利用需要在httpd-xampp.conf中注释解开下面这段代码
#
# PHP-CGI setup
#
<FilesMatch ".php$">
    SetHandler application/x-httpd-php-cgi
</FilesMatch>
<IfModule actions_module>
    Action application/x-httpd-php-cgi "/php-cgi/php-cgi.exe"
</IfModule>
上面这些配置处理的都是一个类似的场景,就是apache会把请求直接转发给php-cgi
结合上面的特性,你可以通过传%ad来传入一个-,这样在-之后的部分就会成为php-cgi的参数,构成参数注入
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)分析与复现
%add+allow_url_include%3don+%add+auto_prepend_file%3dphp://input
会变成
-d allow_url_include=on -d auto_prepend_file=php://input
构成参数注入导致最终的任意代码执行

将PHP的执行程序暴露在外 - XAMPP默认配置

这个场景要特别一些,相比直接把PHP的二进制直接放在web目录下,可能更常见的还是xampp的默认配置。
在httpd-xampp.conf中就可以找到这一串代码
ScriptAlias /php-cgi/ "D:/xampp/php/"
<Directory "D:/xampp/php">
    AllowOverride None
    Options None
    Require all denied
    <Files "php-cgi.exe">
          Require all granted
    </Files>
</Directory>
上面的配置是什么意思呢?
其实就是访问/php-cgi/路径的时候,会映射D:/xampp/php/下的文件,而这个目录下正好是php的整个目录
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)分析与复现
但这又有什么用呢,毕竟都denied了,只有php-cgi.exe是granted的,我们把视角还是回到php-cgi上。
如果我们直接访问调用php-cgi.exe,会怎么样呢?
答案是会有安全警告
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)分析与复现
那我们顺着这个思路去看下代码
https://github.com/php/php-src/blob/51379d66ec8732e506c43f6c7f1befc500117ae8/sapi/cgi/cgi_main.c#L1912
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)分析与复现
我们会发现我们遇到了一个新的概念叫做force_redirect,这其实算是PHP的一个自我保护机制。在P牛的知识星球里就有提过这个问题。
https://wx.zsxq.com/dweb2/index/topic_detail/15411452114282
说白了就是,PHP增加了一个配置叫做cgi.force_redirect=1开启了这个选项(默认开启)之后,只有经过重定向的规则请求才能执行,不能直接调用执行。那有什么办法绕过呢?
这里就不多说了,好像没有曝光出来相应的poc,大家可以自己探索一下,应该有好几种办法
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)分析与复现
很有意思的漏洞,不知道最后议题里能看到什么样的内容~

原文始发于微信公众号(LoRexxar自留地):PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)分析与复现

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月8日14:22:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)分析与复现https://cn-sec.com/archives/2829987.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息