关于最近很火的PHP-CGI的0day
首先洞确实是真的,也确实是rce,但是危害范围没有想象中那么大,不存在什么windows服务器安装php8就会被黑的,这个是谣言。这个洞是CVE-2012-1823的变种,参考 https://pentesterlab.com/exercises/cve-2012-1823/course?ref=labs.watchtowr.com
想要成功复现还得满足以下条件:
服务器是windows
XAMPP部署
PHP 版本满足(8.3-8.3.8、8.1-8.1.29、8.2-8.2.20)
服务器语言系统使用繁体中文 (字码页 950) 简体中文 (字码页 936) 日文 (字码页 932)这三种其中之一
所以最后算下来互联网侧受影响资产差不多就两千不到(都2024年了确实很少有人会直接以CGI模式运行php环境)并且绝大多数都是国内和东南亚一带的机器,并没有全球级别的危害
机制原理和CVE-2012-1823几乎没有区别,P牛给的定义就是老漏洞的新绕过方法。利用了Windows系统内字符编码转换的宽字节特性,选取特殊字符在特殊字符集下转成一个正常的字符绕过php代码中对于-这个符号的过滤,最后把请求字符串传到命令行作为cgi的参数,这里poc里边用到的代替-的是%ad
资产测绘语句 fofa:app="XAMPP"
首先洞确实是真的,也确实是rce,但是危害范围没有想象中那么大,不存在什么windows服务器安装php8就会被黑的,这个是谣言。这个洞是CVE-2012-1823的变种,参考 https://pentesterlab.com/exercises/cve-2012-1823/course?ref=labs.watchtowr.com
想要成功复现还得满足以下条件:
服务器是windows
XAMPP部署
PHP 版本满足(8.3-8.3.8、8.1-8.1.29、8.2-8.2.20)
服务器语言系统使用繁体中文 (字码页 950) 简体中文 (字码页 936) 日文 (字码页 932)这三种其中之一
所以最后算下来互联网侧受影响资产差不多就两千不到(都2024年了确实很少有人会直接以CGI模式运行php环境)并且绝大多数都是国内和东南亚一带的机器,并没有全球级别的危害
机制原理和CVE-2012-1823几乎没有区别,P牛给的定义就是老漏洞的新绕过方法。利用了Windows系统内字符编码转换的宽字节特性,选取特殊字符在特殊字符集下转成一个正常的字符绕过php代码中对于-这个符号的过滤,最后把请求字符串传到命令行作为cgi的参数,这里poc里边用到的代替-的是%ad
资产测绘语句 fofa:app="XAMPP"
👍4