PHP FastCGI的遠程利用

說到FastCGI，大家都知道這是目前最常見的webserver動態腳本執行模型之一。目前基本所有web腳本都基本支持這種模式，甚至有的類型腳本這是唯一的模式（ROR，Python等）。

FastCGI的主要目的就是，將webserver和動態語言的執行分開為兩個不同的常駐進程，當webserver接收到動態腳本的請求，就通過fcgi協議將請求通過網絡轉發給fcgi進程，由fcgi進程進行處理之后，再將結果傳送給webserver，然后webserver再輸出給瀏覽器。這種模型由于不用每次請求都重新啟動一次cgi，也不用嵌入腳本解析器到webserver中去，因此可伸縮性很強，一旦動態腳本請求量增加，就可以將后端fcgi進程單獨設立一個集群提供服務，很大的增加了可維護性，這也是為什么fcgi等類似模式如此流行的原因之一。

然而正是因為這種模式，卻也帶來了一些問題。例如去年80sec發布的《nginx文件解析漏洞》 實際上就是由于fcgi和webserver對script路徑級參數的理解不同出現的問題。除此之外，由于fcgi和webserver是通過網絡進行溝通的，因此目前越來越多的集群將fcgi直接綁定在公網上，所有人都可以對其進行訪問。這樣就意味著，任何人都可以偽裝成webserver，讓fcgi執行我們想執行的腳本內容。

ok，以上就是背景原理解釋，我這里就用我最熟悉的PHP給各位做個例子。

php的fastcgi目前通常叫做FPM。他默認監聽的端口是9000端口。我們這里用nmap直接掃描一下：

nmap -sV -p 9000 --open x.x.x.x/24

為什么要用sV？因為9000端口可能還存在其他服務，這里需要借用nmap的指紋識別先幫我們鑒定一下。

[root@test:~/work/fcgi]#nmap -sV -p 9000 --open 173.xxx.xxx.1/24

Starting Nmap 6.01 ( http://nmap.org ) at 2012-09-14 20:06 EDT
Nmap scan report for abc.net (173.xxx.xxx.111)
Host is up (0.0095s latency).
PORT     STATE SERVICE VERSION
9000/tcp open  ssh     OpenSSH 5.3p1 Debian 3ubuntu7 (protocol 2.0)
Service Info: OS: Linux; CPE: cpe:/o:linux:kernel

Nmap scan report for abc.com (173.xxx.xxx.183)
Host is up (0.0096s latency).
PORT     STATE SERVICE    VERSION
9000/tcp open  tcpwrapped

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 256 IP addresses (198 hosts up) scanned in 7.70 seconds

隨便掃描了一下，運氣不錯，一個C段有2個開放9000端口的，不過其中一個是被管理員修改的sshd，另一個tcpwrapped，才是我們的目標。

為了做測試，我寫了一個fastcgi的客戶端程序，直接向對方發起請求。我們利用一個開放的fastcgi能有什么作用？這里和普通的http請求有一點不同，因為webserver為了提供fastcgi一些參數，每次轉發請求的時候，會通過FASTCGI_PARAMS的包向fcgi進程進行傳遞。本來這些參數是用戶不可控的，但是既然這個fcgi對外開放，那么也就說明我們可以通過設定這些參數，來讓我們去做一些原本做不到的事情：