[安全警告] 一键 php 开发环境暗藏杀机, phpstudy 一键包

2016-02-24 19:53:30 +08:00
 tntsec

昨晚在某群讨论 phpStudy 时,某大牛直说, phpstudy 的 fastcgi 安全性问题,并说了是解析漏洞 a.jpg/1.php

本人也是一方良辰,对于此漏洞也分析过,这个漏洞是 nginx 和 fastCGI 下触发的,由于 phpFPM 默认只解析 php 文件,如果用解析漏洞访问会返回 Access denied ,所以我是没测试过这个漏洞的。

本着以理服人的原则,本人还是对 phpstudy 进行了一下测试,结果自己的脸肿的都不敢摸了。。

phpstudy 刚刚更新, nginx 更新到了 1.9.9 ,增加了 php7 的支持,由于 win10 兼容问题,我这里只能启用 php5.5
当我用 /.php 访问时
我他么尿了。。

解析了,先不惊慌,能跨目录吗?

不惊慌,跨目录怕啥,权限在这不是?
嗯?权限呢??
没错,是当前用户,所有目录畅行无阻

你可能会说,这有啥?别人能访问吗?
能,因为默认监听了所有 IP


触发漏洞的条件也是默认开启的。

你可能疑问,这有啥?
我们设想一下,当你在咖啡厅,愉快的写着 PHP ,然后第二天,你的源码满天飞
这并不可怕,最可怕的是,什么都没发生。
就如同 linux 某编译器后门,多年后才被发现

为什么会发生?
1.默认监听了所有 IP ,内网都可以访问
2.触发漏洞的条件具备
3.fastCGI 权限过高,导致硬盘访问无阻

你必须承认,在你写代码的时候不会过多考虑权限问题,甚至你会用一个 update.php 上传文件,这本身已经足够严重了。

SO ?便捷的危险,复杂的安全,是时候选一个了!

最后可能有人会说,我不是 windows 啊?
那我只能说,我尽力了,但我救不了你

12809 次点击
所在节点    互联网
53 条回复
62900015
2016-02-24 19:58:30 +08:00
3.fastCGI 权限过高,导致硬盘访问无阻 //你 administrators 组的,干啥都可以。
shyling
2016-02-24 20:00:59 +08:00
看不懂,太深奥。有上传权限么,本地开发再也不会弄个 php 文件管理器吧
tntsec
2016-02-24 20:01:48 +08:00
@shyling nginx 解析漏洞仅需要上传图片 然后 jpg/.php 就能解析
tntsec
2016-02-24 20:02:11 +08:00
@shyling 这不是 PHP 文件管理器,这是 webshell
VmuTargh
2016-02-24 20:05:26 +08:00
汪汪姐我就想问这玩意 apache 有没有问题
k9982874
2016-02-24 20:05:35 +08:00
这个有点 NB 啊
VmuTargh
2016-02-24 20:05:43 +08:00
@VmuTargh 在使用 FastCGI 的情况下
tntsec
2016-02-24 20:06:08 +08:00
@VmuTargh apache 没有这个解析漏洞,仅仅是没有这个而已
tntsec
2016-02-24 20:06:37 +08:00
@VmuTargh 你可以自己试试
VmuTargh
2016-02-24 20:07:49 +08:00
@tntsec 待我把 git 部署一下
Andy1999
2016-02-24 20:07:51 +08:00
你在用 administrator 组跑 Nginx PHP 默认获得到的权限就是最高级的
shiny
2016-02-24 20:08:55 +08:00
老漏洞了,当前就靠这个漏洞蹭了某网站一顿饭
shiny
2016-02-24 20:09:46 +08:00
而且这个问题在不当配置的 nginx + fpm 中都会出现
VmuTargh
2016-02-24 20:13:26 +08:00
@shiny 之前汪汪姐在看到我 openshift 跑的 nginx+php 配置就给我指出了这个漏洞
Strikeactor
2016-02-24 20:15:07 +08:00
我不是 Windows 啊
救不了是啥意思?
tntsec
2016-02-24 20:16:28 +08:00
@Strikeactor 因为通篇叙述都没有提到 windows ,这是个跟系统无关的问题
shyling
2016-02-24 20:20:22 +08:00
@tntsec 然而不让上传 php 呢-=-
shyling
2016-02-24 20:20:43 +08:00
@tntsec 说错。。。指文件
Strikeactor
2016-02-24 20:21:29 +08:00
@tntsec 配置是跟 Windows 无关,但你这一键包是 Windows 的啊。。莫名其妙写一句吓 Linux 用户干啥

虽然 LNMP 那个一键包之前看到也有配置不当造成的漏洞就是了
virusdefender
2016-02-24 20:24:49 +08:00
第一眼看到了 webshell ,还以为 phpstudy 自带了 shell 呢。

不过你说的问题也确实不该出现。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/258852

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX