PHP-CGI:它具备两种模式的交互能力,既可以作为CGI程序运行,也可以作为FastCGI服务运行。PHP-CGI在以CGI模式运行时爆出了安全漏洞CVE-2012-1823 。 发现漏洞的团队也用了这个趣图来比喻这三种SAPI。 回顾CVE-2012-1823这一PHP CGI环境下的安全缺陷,Web服务器将HTTP请求解析后转发给PHP脚本。以http://host/cgi.php?
根据CVE-2024-4577漏洞修复的信息来看,在cgi_main.c文件中,在原来逻辑的基础上新增对Windows环境的判断,并使用WideCharToMultiByte函数对请求参数进行宽字节转换,将宽字符转换成多字节字符。 在原本的PHP代码当中,if(*p=='-'),过滤了'-'这个符号,在修复的代码中限制对0x80以上的字符来修复这个问题,并且从注释可以看...
ScriptAlias指令的作用是将/php-cgi/路径指向C:/Users/Administrator/Desktop/xmp/php/目录,Action指令的作用就是将所有对.php文件的请求都使用/php-cgi/php-cgi.exe,也就是C:/Users/Administrator/Desktop/xmp/php/php-cgi.exe来执行。 apache在调用cgi时会查看环境变量REDIRECT_STATUS,而php-cgi为了确认是由apache...
简单来说,这个漏洞发生在 PHP-CGI 解析 HTTP 请求的 query string(URL 中的查询参数部分) 时。如果 query string 中包含了 PHP-CGI 的配置指令,这些指令可能会被错误地解释和执行。这通常是因为 PHP-CGI 在处理 CGI 参数时没有正确地进行过滤或转义。 2.字符编码的Best Fit特性 在Windows系统上,字符编码的Bes...
该漏洞的 CVSS 评分为 9.8 分(满分 10 分),影响 CGI 模式下的安装方式,主要影响使用中文、日本语言的 Windows 版 PHP 安装程序。 Gh0st RAT 恶意软件样本 MITRE ATT&CK TTPs 攻击者利用该漏洞,可以绕过命令行,将参数传递给 PHP 直接解释,漏洞本身问题在于 CGI 引擎没有转义软连字号 (0xAD),没有将 Unicode...
一、漏洞概述 近日,绿盟科技CERT监测到网上披露了PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577),由于PHP 在设计时忽略了Windows系统对字符转换的Best-Fit 特性,用CGI模式运行PHP在Windows平台,且使用了如下语系(简体中文936/繁体中文950/日文932等)时受漏洞影响,未经身份验证的攻击者可构造恶意请求绕过CVE-2012...
回顾CVE-2012-1823漏洞,该漏洞是用户将HTTP请求参数提交至Apache服务器,通过mod_cgi模块交给php-cgi处理,从漏洞补丁可以看出,如果检测到字符串开头为"-“字符并且字符串不存在”="字符就设置skip_getopt = 1,那么整个查询字符串将作为CGI的参数进行传递,攻击者可以向后端的php-cgi解析程序提交恶意数据,php-cgi会将...
Akamai 表示在 6 月披露该 PHP 后 24 小时,就观察到大量针对蜜罐服务器的漏洞利用尝试。 这些攻击包括传播名为 Gh0st RAT 的远程访问木马、RedTail 和 XMRig 等加密货币矿机以及名为 Muhstik 的 DDoS 僵尸网络。 该漏洞的 CVSS 评分为 9.8 分(满分 10 分),影响 CGI 模式下的安装方式,主要影响使用中文、日本...
CVE-2012-1823出来时据说是“PHP远程代码执行漏洞”,曾经也“轰动一时”,当时的我只是刚踏入安全门的一个小菜,直到前段时间tomato师傅让我看一个案例,我才想起来这个漏洞。通过在Vulhub中对这个漏洞环境的搭建与漏洞原理的分析,我觉得还挺有意思的,故写出一篇文章来,
简单理解PHP拥有两个sapi:cgi和fastcgi,其中fpm就是fastcgi下的一种运行方式,是一个更高效的fastcgi运行管理方式 漏洞原理 CVE-2012-1823就是php-cgi这个sapi出现的漏洞,上面介绍了php-cgi提供的两种运行方式:cgi和fastcgi,本漏洞只出现在以cgi模式运行的php中。