关于最近很火的PHP-CGI的0day
首先洞确实是真的,也确实是rce,但是危害范围没有想象中那么大,不存在什么windows服务器安装php8就会被黑的,这个是谣言。这个洞是CVE-2012-1823的变种,参考 https://pentesterlab.com/exercises/cve-2012-1823/course?ref=labs.watchtowr.com
想要成功复现还得满足以下条件:
服务器是windows
XAMPP部署
PHP 版本满足(8.3-8.3.8、8.1-8.1.29、8.2-8.2.20)
服务器语言系统使用繁体中文 (字码页 950) 简体中文 (字码页 936) 日文 (字码页 932)这三种其中之一
所以最后算下来互联网侧受影响资产差不多就两千不到(都2024年了确实很少有人会直接以CGI模式运行php环境)并且绝大多数都是国内和东南亚一带的机器,并没有全球级别的危害
机制原理和CVE-2012-1823几乎没有区别,P牛给的定义就是老漏洞的新绕过方法。利用了Windows系统内字符编码转换的宽字节特性,选取特殊字符在特殊字符集下转成一个正常的字符绕过php代码中对于-这个符号的过滤,最后把请求字符串传到命令行作为cgi的参数,这里poc里边用到的代替-的是%ad
资产测绘语句 fofa:app="XAMPP"
首先洞确实是真的,也确实是rce,但是危害范围没有想象中那么大,不存在什么windows服务器安装php8就会被黑的,这个是谣言。这个洞是CVE-2012-1823的变种,参考 https://pentesterlab.com/exercises/cve-2012-1823/course?ref=labs.watchtowr.com
想要成功复现还得满足以下条件:
服务器是windows
XAMPP部署
PHP 版本满足(8.3-8.3.8、8.1-8.1.29、8.2-8.2.20)
服务器语言系统使用繁体中文 (字码页 950) 简体中文 (字码页 936) 日文 (字码页 932)这三种其中之一
所以最后算下来互联网侧受影响资产差不多就两千不到(都2024年了确实很少有人会直接以CGI模式运行php环境)并且绝大多数都是国内和东南亚一带的机器,并没有全球级别的危害
机制原理和CVE-2012-1823几乎没有区别,P牛给的定义就是老漏洞的新绕过方法。利用了Windows系统内字符编码转换的宽字节特性,选取特殊字符在特殊字符集下转成一个正常的字符绕过php代码中对于-这个符号的过滤,最后把请求字符串传到命令行作为cgi的参数,这里poc里边用到的代替-的是%ad
资产测绘语句 fofa:app="XAMPP"
👍4
Forwarded from 赛博安全威胁情报🥸
去年闹的沸沸扬扬的 360 公司洪宇盗窃虚拟货币判刑了!几千万变成几百万牛啊🤙还是缓刑,是腐败嘛?
洪某,男,1994年生,高中文化,原奇虎360高级攻击研究院副院长。
郑某,男,1991年生,大学文化,360公司高级攻防实验室武器组组长。
网安企业 3 位员工:被判
https://mp.weixin.qq.com/s/g6v0EJOArTYY4RtTmiHaEQ
#吃瓜
洪某,男,1994年生,高中文化,原奇虎360高级攻击研究院副院长。
郑某,男,1991年生,大学文化,360公司高级攻防实验室武器组组长。
网安企业 3 位员工:被判
https://mp.weixin.qq.com/s/g6v0EJOArTYY4RtTmiHaEQ
#吃瓜
👍9❤1👏1