*本文中涉及到的相關漏洞已報送廠商并得到修復，本文僅限技術研究與討論，嚴禁用于非法用途，否則產生的一切后果自行承擔。

大約14年前發現一直到現在的0day

是IIS4\IIS5的漏洞，對應操作系統是winnt和win2000系統，微軟不再支持這些軟件，他們的策略想淘汰這些系統，11年報告后微軟決定不再修補。算是很嚴重的漏洞，只是影響的軟件現在使用率相對比較低，但總量也不少。

具體漏洞詳細信息如下：IIS加載CGI環境塊偽造漏洞

危害等級：高危

危害類型：緩沖區溢出、遠程執行代碼、信息泄露

影響平臺：Winnt\win2000

影響軟件：IIS4、IIS5

基本情況：

IIS4、IIS5加載CGI，處理環境塊的時候，錯誤的把“\n”字符用“\x00”替換，導致可以偽造任意環境塊。IIS加載CGI的時候，把自己的請求加上“HTTP_”前綴加入環境變量和本地環境變量區分，通過利用”\n”替換成”\0”的漏洞就可以把這些前綴去掉，從而任意偽造環境塊變量。攻擊者可以在http頭里提交“a=b\nPATH_TRANSLATED:var”使得IIS加載CGI的時候環境塊變量成為”HTTP_a=b”和“PATH_TRANSLATED=var”，成功偽造環境塊“PATH_TRANSLATED=var”，讓php.exe執行腳本文件“var”，從而執行任意命令。

CGI加載有兩種方式，一種本身就是編譯成.exe的可執行程序，這些常見的有一些計數器、一些網站自己開發的應用程序、還有一些應用比較廣的WEB應用程序等。還有一種是通用腳本映射到.EXE解釋執行(映射到.dll的是isapi，不受影響)，這些常見的有PHP\PERL腳本等。

具體危害看具體CGI程序對環境塊的處理方式，可能會導致的部分結果：1、??CGI處理本地環境變量的時候緩沖溢出，一些CGI處理本地環境變量的時候，因為這些變量一般不能設置或者本來是可信的，沒有考慮緩沖大小檢查等。

2、??有些環境塊變量影響一些CGI的處理邏輯、信任關系等。

3、??加載dll或者加載進程時因為偽造的path環境變量加載攻擊者的程序。

驗證步驟：

1、win2000+iis5配置.php映射到php.exe(即cgi方式，如果影射到.dll是isapi方式，沒有此漏洞)

2、請求發送:

“GET /a.php HTTP/1.1\r\na=b\nPATH_TRANSLATED:c:\windows\win.ini\r\nHOST：192.168.0.1\r\n\r\n”

3、iis將返回win.ini內容。

4、也可以利用iis的日志文件寫出php命令，利用此漏洞讓php.exe調用iis日志文件執行系統命令等。

漏洞利用程序：

4月1號的愚人節版本：usage:iisexp411?127.0.0.1??/AprilFools'Day.php??PATH_TRANSLATED??c:\windows\win.ini

總結

以上是生活随笔為你收集整理的iis php cgi.exe 漏洞,IIS4\IIS5 CGI环境块伪造0day漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。