phpunit 远程代码执行漏洞（CVE-2017-9841)复现

phpunit 远程代码执行漏洞（CVE-2017-9841）复现

• 上海虹桥机场有这么一个故事，一对恋人在机场分手，女对男说“你别等我了，我们不会有结果，就像机场永远等不来火车，我们以后也不会有交集”。没过几年，虹桥机场跟火车站连在了一起，设计这个工程的总工程师就是那个男的，只要有爱就有办法，任何人都可以无止境的对一个人好，但是前提是值得。

漏洞概述:

• PHPUnit 是 PHP 程式语言中最常见的单元测试 (unit testing) 框架，通常phpunit使用composer非常流行的PHP依赖管理器进行部署,将会在当前目录创建一个vendor文件夹.phpunit生产环境中仍然安装了它,如果该编写器模块存在于Web可访问目录，则存在远程代码执行漏洞。

漏洞版本：

• 4.8.19 ~ 4.8.27
• 5.0.10 ~ 5.6.2

基本原理：

• 漏洞位于/phpunit/src/Util/PHP/eval-stdin.php。

  eval('?>'.file_get_contents('php://input'));

漏洞复现：

• 总体来说就是向vendor/phpunit/src/Util/PHP/eval-stdin.php发送POST请求执行php代码。
• 例如直接执行phpinfo
• 也可以直接写入一句话木马。');
  成功生成，即可菜刀连接。
  

漏洞修复：

• 果断一点，生产环境中直接删掉phpunit，没有用。

• 如果不想删，念旧情，直接升级吧，

• 懒打升级？那就直接设置权限，禁止访问该目录。

  余生很长，请多指教。