漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0145879
漏洞标题:LNMP虚拟主机PHP沙盒绕过/命令执行
相关厂商:LNMP
漏洞作者: phith0n
提交时间:2015-10-10 21:45
修复时间:2015-11-26 14:34
公开时间:2015-11-26 14:34
漏洞类型:系统/服务运维配置不当
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-10: 细节已通知厂商并且等待厂商处理中
2015-10-12: 厂商已经确认,细节仅向厂商公开
2015-10-22: 细节向核心白帽子及相关领域专家公开
2015-11-01: 细节向普通白帽子公开
2015-11-11: 细节向实习白帽子公开
2015-11-26: 细节向公众公开
简要描述:
lnmp更新1.2版本,很多东西都升级了,很棒。不过还是发现一个BUG。
详细说明:
LNMP是一款linux下nginx、php、mysql一键安装包。
下载:http://**.**.**.**/lnmp/lnmp1.2.tar.gz
执行一个命令即可简单安装。
LNMP是这样配置沙盒的:
1.disable_functions,配置在 include/php.sh中:
其值为:
passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket
2.open_basedir,在创建虚拟主机的时候配置:
如上图,方法是在虚拟主机跟目录里,新建一个.user.ini文件,并通过这个ini设置open_basedir,并用chattr +i赋予其不可修改的权限。
但如果php可以执行系统命令的话,open_basedir也没什么意义了。
我们看看编译php的选项:
可见开启了PHP默认不开启的pcntl:--enable-pcntl。
我们看前面,pcntl_exec是没有被禁用了。不知道为什么,这个版本把pcntl_exec的禁用给去掉了,这就导致了虚拟主机的沙盒绕过、命令执行。
给出pcntl_exec执行命令的方法。
pcntl_exec是类似windows下的shell.application。需要我们先写一个脚本文件,然后用其执行。
POC如下:
写一个脚本,执行命令后把结果输出到/tmp/output。
然后用pcntl_fork(),fork出一个子进程,在子进程里调用pcntl_exec执行这个脚本。否则在父进程里执行pcntl_exec后会导致进程一直处在等待状态,最后导致502。
然后查看output,echo file_get_contents("/tmp/output");
执行任意命令沙盒bypass,虚拟主机也就没什么意义了。
漏洞证明:
见上面。
修复方案:
禁用pcntl_exec,或者不要--enable-pcntl
版权声明:转载请注明来源 phith0n@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2015-10-12 14:32
厂商回复:
CNVD未直接复现所述漏洞情况,暂未建立与软件开发者的直接处置渠道,待认领。
最新状态:
暂无