php-5.x-com-functions提权漏洞的利用分析.docxVIP

PHP 5.x COM functions 提权漏洞的利用分析 PHP是英文超级文本预处理语言 (Hypertext Preprocessor )的缩写，是一种 HTML 内嵌式的语言。它可以比CGI或者Perl更快速地执行动态网页。PHP具有非常强大的功能， 所有的CGI或者JavaScript的功能，PHP都能实现，支持几乎所有流行的数据库以及操作 系统。 近期功能如此强大、运用如此广泛的 PHP却出现了重大漏洞，也就是 PHP 5.x COM functions safe_mode and disable_function bypass 漏洞。它可以实现提权， 这是很多 朋友们所梦寐以求的。 下面我们先来总体介绍一下漏洞， 由于本人水平有限， 请大家原谅不 准确的地方。 漏洞所用到的 COM函数只在 Windows环境下的PHP才存在，.net的支 持需要PHP5以及.n et Run time。漏洞所利用的函数无需特殊安装， 是PHP内核的一部分。 Windows环境下的PHP默认支持这些扩展，不用额外加载其他扩展来调用漏洞函数。 现在部分大中型网站都喜欢用 PHP+Apache+Windows 来架设，这样的话，PHP漏洞 的打击面就会很大了， 特别是在现在提权越来越难的形势下， 我想，很多服务器会因为这个 漏洞而沦陷的。根据漏洞发现者公布的内容， 漏洞的利用要求php.ini中有如下设置。我的 测试环境为PHP5.2.3+Apache2.2.3+Windows XP SP2 ，在我的测试当中，发现并不一定 要严格按照这样配置，大家可以自己测试一下看看。 safe_mode = On disable_fu nctions = com_load_typelib ope n_basedir = htdocs 下面我们就逐一看看这个漏洞的内容与利用。 compatUI.dll 中的 RunApplication 函数 这个漏洞的测试代码如下。 ?php $compatUI = new COM({0355854A-7F23-47E2-B7C3-97EE8DD42CD8}); //加载 compatUI.dll $compatUI-RunApplication(something, notepad.exe, 1); //运行记事本 ? 将其保存为PHP文件，放到服务器上，然后用 IE访问就可以了。运行后 IE是没有什 么回显的，如图1所示，但实际上记事本已经运行了，而且是 SYSTEM 权限，因为它是由 系统服务来运行的，所以继承了 SYSTEM权限，如图2所示。 Windows任务爸理赛文杵匡）选项? 查看① 关机（0 帮肋?应用程序进程映像名喲用尸名laass、专箱皆SYSTEM■血也m电f?? Windows任务爸理赛 文杵匡）选项? 查看① 关机（0 帮肋? 应用程序进程 映像名喲 用尸名 laass、专箱皆 SYSTEM ■血也 m电f?? nwpai nt. ese iDier . ^notepad,女sce SYSTEM n应pad. eu* m tr..? not ep ad m?r . tlvsvcSS. exe SYSTEM QQ exe m er.?? scardsvr. exe IJDC . ^TSTEM svnss, esce SYSTEM svchost. LDC . SVGhQSt. SISIE1 SYSTEM svchost. KII . 5VGh?5t.侍令 SISIE1 Tmrn 性能 联网 用尸 会话 页00取您00頃00000000000000切00曲“ _| □ □ □ □ □ □ □ 内 U CP 一I-IN一 匚 V ( f J. ( f ■ - J J. I■ / ■ ■ ■?■ br￡ 也弓地 也出 24.跖宀 利用这个漏洞，我们可以运行已经上传好的木马，实现 WebShell的提权。当然，如 果你足够无聊的话，还可以写成循环，让服务器运行很多记事本，实现 D.O.S。 Wscript运行命令 这个漏洞的测试代码如下。 要用至U wscript.exe 要用至U wscript.exe $wscript = new COM(wscript.shell); // $wscript-Run(cmd.exe /c calc.exe);// 运行 calc.exe ? 访问该脚本后，服务器上出现了SYSTEM 权限的calc.exe进程，如图3所示。我们 只要发挥一下想象力，修改一下脚本，就能加个管理员账户了，具体代码如下。 访问该脚本后，服务器上出现了 ^Windows任务管理器□叵 ^Windows任务管理器 □叵 文件? 选项?査看①关机助帮肋但） 应用程序’进程 性能 联