[含POC]紧急测试!PHP CGI Windows平台远程代码执行漏洞爆发!

免责声明

本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途，如果您对文章内容有疑问，可以尝试加入交流群讨论或留言私信，如有侵权请联系小编处理。

内容速览

0x01 前言

声明：本文提供的信息和工具仅供学术交流和教育目的。我们强烈反对任何形式的非法测试行为。读者若因使用、传播本文内容或工具所引发的直接或间接后果和损害，需自行承担全部责任。文章作者不承担任何由此产生的法律责任或连带影响。请您在遵守法律法规的前提下使用本文内容

0x02 漏洞描述

在PHP语言的设计过程中，未能充分考虑到Windows系统内部对字符编码转换采用的“最佳匹配”（Best-Fit）机制。特别是当PHP部署在Windows平台，并处理如繁体中文（代码页950）、简体中文（代码页936）、日文（代码页932）等特定语言环境时，存在安全漏洞。此漏洞为攻击者提供了可乘之机，允许他们通过精心构造的恶意请求来规避CVE-2012-1823的安全措施，进而通过参数注入等手段在受影响的PHP服务器上远程执行恶意代码。

利用条件：

1、用户认证：无需用户认证

2、前置条件：默认配置

3、触发方式：远程

0x03 影响范围

PHP 8.3 < 8.3.8 PHP 8.2 < 8.2.20 PHP 8.1 < 8.1.29

0x04 资产测绘

• fofaapp="XAMPP"
• 特征

o1szx

0x05 漏洞复现

o4ryj

0x06修补建议

• 更新到PHP官方发布的最新PHP版本
• 如无法更新建议编写Rewrite 规则阻止攻击

注意：此份规则只作为繁体中文、简体中文及日文语系中的暂时性缓解机制，建议以更新版本进行修复

RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? - [F,L]