PHP-FPM 远程命令执行 (CVE-2019-11043)
在 Real World CTF 2019 Quals 中发现了一个 PHP 远程代码执行 0-Day。
Real World CTF 2019 Quals 是由长亭科技在中国举办的 CTF 挑战赛。
参考:
PHP imap 远程命令执行漏洞(CVE-2018-19518)
PHP-CGI远程代码执行漏洞(CVE-2012-1823)
PHP-CGI远程代码执行漏洞(CVE-2012-1823)
原理
- 参考文章 http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/
- 影响版本 php < 5.3.12 or php < 5.4.2
PHP 8.1.0-dev User-Agentt 后门
OpenSMTPD 远程代码执行漏洞 (CVE-2020-7247)
OpenSMTPD 远程代码执行漏洞 (CVE-2020-7247)
OpenSMTPD 是一个适用于 unix 操作系统(BSD、MacOS、GNU/Linux)的 smtp 服务程序,遵循 RFC 5321 SMTP 协议。OpenSMTPD 最初是为 OpenBSD 操作系统开发的,是 OpenBSD 项目的一部分。由于其开源特性,已分发到其他 unix 平台。根据 ISC 许可证,该软件可供所有人免费使用和重复使用。
CVE-2020-7247 是由于 OpenSMTPD 在实施 RFC 5321 的过程中对发件人/收件人的验证不严造成的。
2020 年 1 月 29 日,OpenSMTPD 小组正式提交了CVE-2020-7247GitHub 存储库中的 修复程序。修复后对应的版本是OpenSMTPD 6.6.2p1.
参考:
ApacheOfBiz 中 XMLRPC 参数的不安全反序列化 (CVE-2020-9496)
ApacheOfBiz 中 XMLRPC 参数的不安全反序列化 (CVE-2020-9496)
Apache OFBiz 是一个开源的企业资源规划 (ERP) 系统。它提供了一套企业应用程序,可以集成和自动化企业的许多业务流程。
OfBiz 在 处公开一个 XMLRPC 端点/webtools/control/xmlrpc。这是一个未经身份验证的端点,因为身份验证是基于每个服务应用的。但是,XMLRPC 请求是在身份验证之前处理的。作为此处理的一部分,远程调用的任何序列化参数都被反序列化,因此如果类路径包含任何可用作实现远程代码执行的小工具的类,攻击者将能够在任何 OfBiz 服务器上运行任意系统命令与运行 OfBiz 的 servlet 容器具有相同的权限。
参考:
ntopng 身份验证绕过 (CVE-2021-28073)
node-postgres 代码执行漏洞(CVE-2017-16082)
Node.js 目录穿越漏洞(CVE-2017-14849)
Node.js 目录穿越漏洞(CVE-2017-14849)
漏洞原理
参考文档:
- https://nodejs.org/en/blog/vulnerability/september-2017-path-validation/
- https://security.tencent.com/index.php/blog/msg/121
原因是 Node.js 8.5.0 对目录进行normalize操作时出现了逻辑错误,导致向上层跳跃的时候(如../../../../../../etc/passwd),在中间位置增加foo/../(如../../../foo/../../../../etc/passwd),即可使normalize返回/etc/passwd,但实际上正确结果应该是../../../../../../etc/passwd。
express这类web框架,通常会提供了静态文件服务器的功能,这些功能依赖于normalize函数。比如,express在判断path是否超出静态目录范围时,就用到了normalize函数,上述BUG导致normalize函数返回错误结果导致绕过了检查,造成任意文件读取漏洞。
当然,normalize的BUG可以影响的绝非仅有express,更有待深入挖掘。不过因为这个BUG是node 8.5.0 中引入的,在 8.6 中就进行了修复,所以影响范围有限。