回到本漏洞。CVE-2012-1823就是php-cgi这个sapi出现的漏洞,我上面介绍了php-cgi提供的两种运行方式:cgi和fastcgi,本漏洞只出现在以cgi模式运行的php中。 这个漏洞简单来说,就是用户请求的querystring被作为了php-cgi的参数,最终导致了一系列结果。 探究一下原理,RFC3875中规定,当querystring中不包含没有解码的=号的...
某日,在我司技术人员的日常巡检过程中发现有一个客户现场的聚铭网络流量智能分析审计系统(iNFA)报出“疑似存在 CVE-2012-1823攻击尝试”的安全事件,于是立即要求相关技术人员抓取流量数据包,以便对本次疑似攻击事件进行分析和判定。 本文内容主要对该次攻击事件涉及的分析思路和相关技术进行分享,现场抓取的数据包内容如...
漏洞复现之CVE-2012-1823(PHP-CGI远程代码执行) 关于CGI知识点 CGI模式下的参数: -c 指定php.ini文件的位置-n 不要加载php.ini文件-d 指定配置项-b 启动fastcgi进程-s 显示文件源码-T 执行指定次该文件-h和-? 显示帮助 题目如下图,没有什么发现 目录扫描一下 dirsearch -uhttp://47.96.234.169:32349/ ...
漏洞原理 CVE-2012-1823就是php-cgi这个sapi出现的漏洞,上面介绍了php-cgi提供的两种运行方式:cgi和fastcgi,本漏洞只出现在以cgi模式运行的php中。 这个漏洞简单来说,就是用户请求的querystring被作为了php-cgi的参数,最终导致了一系列结果 漏洞利用 发现cgi模式下有如下一些参数可用: -c 指定php.ini文件的位置 -n...
CVE-2012-1823出来时据说是“PHP远程代码执行漏洞”,曾经也“轰动一时”,当时的我只是刚踏入安全门的一个小菜,直到前段时间tomato师傅让我看一个案例,我才想起来这个漏洞。通过在Vulhub中对这个漏洞环境的搭建与漏洞原理的分析,我觉得还挺有意思的,故写出一篇文章来,和大家分享。
CVE-2012-1823是在php-cgi运行模式下出现的漏洞,其漏洞只出现在以cgi模式运行的php中。 (2)漏洞成因 这个漏洞简单来说,就是用户请求的querystring(querystring字面上的意思就是查询字符串,一般是对http请求所带的数据进行解析,这里也是只http请求中所带的数据)被作为了php-cgi的参数,最终导致了一系列结果。 RFC387...
CVE-2012-1823是在php-cgi运行模式下出现的漏洞,其漏洞只出现在以cgi模式运行的php中。 (2)漏洞成因 这个漏洞简单来说,就是用户请求的querystring(querystring字面上的意思就是查询字符串,一般是对http请求所带的数据进行解析,这里也是只http请求中所带的数据)被作为了php-cgi的参数,最终导致了一系列结果。 RFC387...
PHP-CGI远程代码执行漏洞CVE-2012-1823漏洞复现 一、漏洞介绍 这个漏洞简单来说,就是用户请求的querystring(querystring字面上的意思就是查询字符串,一般是对http请求所带的数据进行解析,这里也是只http请求中所带的数据)被作为了php-cgi的参数,最终导致了一系列结果。 影响范围: 漏洞影响版本 php < 5.3.12 or ...
CVE-2012-1823是在php-cgi运行模式下出现的漏洞,其漏洞只出现在以cgi模式运行的php中。 (2)漏洞成因 这个漏洞简单来说,就是用户请求的querystring(querystring字面上的意思就是查询字符串,一般是对http请求所带的数据进行解析,这里也是只http请求中所带的数据)被作为了php-cgi的参数,最终导致了一系列结果。
Debian Related Ubuntu Security Notices (USN) USN-1437-1 PHP vulnerability 4 May 2012 Other references http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/ https://www.cve.org/CVERecord?id=CVE-2012-1823 https://www.cisa.gov/known-exploited-vulnerabilities-catalog Open...