一、Phpstudy(小皮面板)簡介:
PhpStudy國內12年老牌公益軟件,集安全,高效,功能與一體,已獲得全球用戶認可安裝,運維也高效。支持一鍵LAMP,LNMP,集群,監控,網站,FTP,數據庫,JAVA等100多項服務器管理功能。
二、漏洞簡介:
自從2019年Phpstudy爆出的后門事件已經過去一段時間了,期間也沒有爆出過什么漏洞,並且現在Phpstudy(小皮面板)已經改版了,這次爆出的漏洞是nginx的解析漏洞,也就是存在已久的/xx.php解析漏洞
漏洞原理:
1、由於用戶的錯誤配置導致nginx把以.php結尾的文件交給fastcgi處理,為此可以構造http://www.xxx.com/test.gif/xx.php (任何服務器端不存在的php文件均可,比如a.php)
2、但是fastcgi在處理xx.php文件時發現文件並不存在,這時php.ini配置文件中cgi.fix_pathinfo=1 發揮作用,這項配置用於修復路徑,如果當前路徑不存在則采用上層路徑。為此這里交由fastcgi處理的文件就變成了/test.gif。
3、 最重要的一點是php-fpm.conf中的security.limit_extensions配置項限制了fastcgi解析文件的類型(即指定什么類型的文件當做代碼解析),此項設置為空的時候才允許fastcgi將.png等文件當做代碼解析。
三、漏洞復現:
1、測試環境:
Phpstudy(小皮面板)8.1.0.7
2、准備圖片馬:
3、上傳到網站根目錄,訪問圖片正常:
4、構造payload:
http://192.168.136.137/shell1.gif/xxx.php
成功解析為php文件:
直接用蟻劍連接:
執行命令:
參考鏈接:
https://www.xp.cn/
https://mp.weixin.qq.com/s?__biz=MzUyMTAyODYwNg==&mid=2247486950&idx=1&sn=ae5bcb33c1f768b344207a8729788835&chksm=f9e01b77ce979261d030f81ec0f86a82ed69449e16309608a1d28f0890082e57d9e1e603eb53&mpshare=1&scene=23&srcid=0902lxClD2ZLyEtFBSRBbhe7&sharer_sharetime=1599056925569&sharer_shareid=1a4a1d8d5a85d33bd0507493a4cb21c4#rd