PHP CGI参数注入漏洞(CVE-2024-4577) 分析

宣布时间 2024-06-08

一、漏洞描述


2024年6月6日 ,PHP官方宣布了多个新版本 ,其中都包罗对编号为CVE-2024-4577的宁静漏洞的修复更新。该漏洞是PHP CGI的参数注入漏洞 ,是对CVE-2012-1823漏洞的修复绕过。


该漏洞发生的原因是:在PHP CGI模式下 ,未正确处置Windows系统中的“Best-Fit Mapping”特性 ,导致简体中文、繁体中文、日文或其他受影响语言环境将某些字符错误的识别成了'-'。攻击者可通过引入恶意参数实现任意代码执行。


二、漏洞复现


如下图所示:


图片1.png


三、漏洞分析


CVE-2012-1823补丁的修复措施是 ,PHP处置通报进来的字符串时 ,在跳过前面空白符后 ,判断第一位是否是'-';如果是'-' ,就差池后面的字符进行参数解析 ,好比-d,-s,-c等参数。


PHP官方的commit如下图所示:


图片2.png


可以看到 ,当运行系统环境为Windows时 ,PHP调用WideCharToMultiByte函数来加强对宽字符的判断。如果转换后的字符为'-' ,则将skip_getopt置为1 ,使得后续就不会对传入的字符串进行参数解析。

那么 ,什么样的宽字符能够转换后酿成'-' ,从而绕过之前的修复呢?


以受影响的简体中文、繁体中文、日文举例 ,他们对应的Windows 代码页分别是936、950、932。其中都有将0x00ad映射为0x002d的操作 ,如下图所示:


图片3.png


图片4.png


图片5.png


因此通过引入0x00ad即可替代0x002d ,实现参数注入来执行任意代码。


四、总结


CVE-2024-4577漏洞利用简单 ,危害严重。特别在某些对Apache、PHP进行集成部署和管理的流行软件中 ,如果未正确配置php cgi ,即可造成严重危害。



参考链接:


PHP官方commit

https://github.com/php/php-src/commit/4dd9a36c165974c84c4217aa41849b70a9fc19c9

DEVCORE的漏洞通报

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/