探索PHP-FPM问题研究工具PHuiP-FPizdaM

简介

PHuiP-FPizdaM是一个针对PHP-FPM（CVE-2019-11043）问题的开源研究工具。在特定的nginx+php-fpm配置中，这个问题可能导致外部访问者执行非预期代码。如果你的服务器设置了特定配置，那么这款工具可能会引起你的关注。

技术解析

该工具研究了一个技术问题，当nginx的location匹配到.php文件并转发给php-fpm时，如果缺少了脚本存在的检查（如try_files），那么用户可能通过特定构造的请求触发问题。值得注意的是，Orange Tsai在他的博客中发布了一篇详尽的分析链接，如果你对此感兴趣，值得一看。

此外，作者在ZeroNights 2019的演讲幻灯片也可供参考。

应用场景

如果你的web服务器运行着nginx和php-fpm，并且nginx的配置类似以下：

location ~ [^/]\.php(/|$) {
  ...
  fastcgi_split_path_info ^(.+?\.php)(/.*)$;
  fastcgi_param PATH_INFO       $fastcgi_path_info;
  fastcgi_pass   php:9000;
  ...
}

没有进行任何脚本存在性检查，那么你的服务器可能需要关注。请注意，要满足几个前提条件才能触发此问题。

项目特点

• 只需安装Go语言环境，就可以通过go get命令获取并编译PHuiP-FPizdaM。
• 支持通过Docker容器快速验证问题和测试工具。
• 提供了一个使用Docker和LXD系统容器的本地复现环境指南。
• 针对PHP 7+有效，但在PHP 5中可能存在不同的研究方法。

使用方式

安装PHuiP-FPizdaM：

go get github.com/neex/phuip-fpizdam

然后使用phuip-fpizdam [url]命令尝试使用。成功后，你可以在PHP脚本后面添加?a=<你的命令>来执行特定指令。

或者，你可以直接使用Docker镜像:

docker run --rm ypereirareis/cve-2019-11043 [url]

在探索安全问题或学习防御策略时，这个项目提供了一个宝贵的学习资源。但请务必谨慎操作，避免造成不必要的影响。

最后，PHuiP-FPizdaM遵循MIT许可证，合法地用于研究目的。别忘了尊重法律和道德底线，如果你真的发现了什么，记得分享你的发现。