CVE-2025-XXXX:CloudPanel FastCGI PHP-FPM 权限提升漏洞利用
📌 描述
此概念验证(PoC)漏洞利用针对CloudPanel环境中的权限提升漏洞,其中clp用户具有**NOPASSWD sudo访问权限**,且**FastCGI (PHP-FPM)**配置不当或本地暴露。
通过利用不安全的FastCGI访问和执行PHP脚本的能力,此漏洞利用可以以**root权限执行任意命令**,直接执行或生成特权root shell。
⚠️ 此工具严格用于教育和授权的渗透测试。请勿在您不拥有或未经明确许可测试的系统上使用。
✨ 特性
- 🔧 通过PHP-FPM以
root权限运行任意系统命令。 - 🐚 使用bash的setuid副本生成伪交互式root shell。
- 🔍 自动清理临时文件。
- ✅ 最小依赖(纯Python3)。
📜 技术概述
漏洞利用的工作原理如下:
-
恶意PHP文件写入
/tmp/.cmd.php,包含: -
向本地暴露的PHP-FPM服务(
127.0.0.1:{PORT})发送FastCGI请求。 -
如果PHP-FPM进程以具有
NOPASSWDsudo权限的用户(例如clp)运行,则命令以root权限运行。 -
可选地,漏洞利用可以:
- 将
/bin/bash复制到临时位置。 - 设置setuid位。
- 生成UID 0的交互式shell。
- 将
⚙️ 用法
🔹 以root权限运行命令
|
|
🔹 生成交互式root shell
|
|
要求:Python3、
/bin/bash和真实TTY。
🧪 示例
|
|
可选参数:
| 标志 | 描述 | 默认值 |
|---|---|---|
--host |
目标主机地址 | 127.0.0.1 |
--port |
目标FastCGI端口 | 8787 |
📁 文件结构
| 文件 | 描述 |
|---|---|
exploit.py |
主漏洞利用脚本 |
/tmp/.cmd.php |
临时恶意PHP文件(自动清理) |
/tmp/.priv |
bash的setuid副本(如果使用--interactive) |
🔒 要求
- Python 3.x
- 对以下系统的本地访问:
- PHP-FPM可在本地端口访问。
- FPM进程以具有无密码
sudo访问权限的用户运行。 - 可写的
/tmp目录。
👤 作者
- Jhuanes Septinus (@jnx23)
灵感来自Muhammad Aizat (EagleTube)
📜 免责声明
此工具仅用于教育和研究目的。
请勿在您不拥有或未经明确许可测试的系统上使用。
作者不对任何误用或造成的损害负责。
🪪 许可证
此项目根据MIT许可证授权。