漏洞分析|PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577)

发布于 作者:

漏洞分析|PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577)

XDsecurity 2024-06-16 12:12

1.漏洞描述

CVE-2024-4577
导致漏洞产生的本质其实是
Windows
系统内字符编码转换的
Best-Fit
特性导致的,相对来说
PHP
在这个漏洞里更像是一个受害者。

PHP语言在设计时忽略了Windows系统内部对字符编码转换的Best-Fit特性,当PHP运行在Window平台且使用了如繁体中文(代码页950)、简体中文(代码页936)和日文(代码页932)等语系时,威胁者可构造恶意请求绕过CVE-2012-1823的保护,通过参数注入等攻击在目标PHP服务器上远程执行代码。

2.影响版本

PHP 8.3 < 8.3.8

PHP 8.2 < 8.2.20

PHP 8.1 < 8.1.29

该漏洞影响安装于Windows系统上的PHP 版本。由于PHP 8.0 分支、PHP 7 以及PHP 5 官方已不再维护

3.影响范围

4.漏洞复现

POST /php-cgi/php-cgi.exe?%add+allow_url_include%3d1+%add+auto_prepend_file%3dphp://input%20 HTTP/1.1
Host: 127.0.0.1
User-Agent: Opera/9.98.(Windows 98; Win 9x 4.90; fur-IT) Presto/2.9.173 Version/11.00
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Type: application/x-www-form-urlencoded
REDIRECT-STATUS: 1
Content-Length: 22

<?php system("dir");?>

5.漏洞分析

看看漏洞利用条件

首先得是
Window
环境

漏洞是由于
Windows
系统内字符编码转换的
Best-Fit
特性导致得所以必须是
windows
环境,其他不影响

然后
由于这个特性,windows
正在使用
的语言系统
是以下三种

繁体中文 (字码页 950)

简体中文 (字码页 936)

日文 (字码页 932)


poc
中用到得特殊字符是
%ad
,看看
%ad
是什么 

/php-cgi/php-cgi.exe?%add+allow_url_include%3d1+%add+auto_prepend_file%3dphp://input

编码转换的
Best-Fit
特性会将
“%ad “
转换成
“-”


“-“
发挥得作用是什么,我们看看源码

在新的
commit
当中还加入了对
0x80
以上的所有字符的限制来修复这个问题,原本代码中就过滤了
“-“
符号

上面还有一段注释

如果
get
发送的请求字符串中不包含

=”
,那么
Apache
就会把请求传到命令行作为
cgi
的参数。但这会导致恶意请求就可以将命令行参数传递给
php
,如果直接处理传参,那么会影响到以独立脚本方式运行的
PHP
脚本。所以只有当开头是

的时候
(
跳过所有空白符号
)
才阻止传递参数。

也就是说这个漏洞是绕过
CVE-2012-1823
的限制

利用
Best-Fit
特性会将
“%ad “
转换成
“-“
,导致参数传递没有被阻止,从而利用漏洞

当目标以以
CGI
模式运行的
PHP
环境时,配置如下 

#
# PHP-CGI setup
#
<FilesMatch "\.php$">
SetHandler application/x-httpd-php-cgi
</FilesMatch>
<IfModule actions_module>
Action application/x-httpd-php-cgi "/php-cgi/php-cgi.exe"
</IfModule>

apache会把请求直接转发给php-cgi。结合上面的特性,你可以通过传%ad来传入一个”-“,这样在-之后的部分就会成为php-cgi的参数


httpd-xampp.conf
中就可以找到这一串代码

访问
/php-cgi/
路径的时候,会映射
D:/xampp/php/
下的文件

只有php-cgi.exe是granted的,我们把视角还是回到php-cgi上。

我们直接访问调用php-cgi.exe
会有
安全警告

我们看看代码

https://github.com/php/php-src/blob/51379d66ec8732e506c43f6c7f1befc500117ae8/sapi/cgi/cgi_main.c#L1897

PHP
增加了一个配置叫做
cgi.force_redirect=1
,开启了这个选项(默认开启)之后,只有经过重定向的规则请求才能执行,不能直接调用执行。

我们得想办法绕过它才能继续执行

在源码中发现
REDIRECT_STATUS

HTTP_REDIRECT_STATUS
不为空时即可

那我们给
REDIRECT-STATUS:1
即可绕过这个限制

6.修复建议

目前该漏洞已经修复,受影响用户可升级到PHP版本8.3.8、8.2.20、8.1.29或更高版本。

下载链接:

https://github.com/php/php-src/tags