用户名:
密 码: 记住
您当前的位置:首页 > 网络编程 > php教程

PHP-5.3.9远程执行任意代码漏洞

时间:2015-01-23  来源:西部数据  作者:西部数据

还记得我之前说的PHP Hash Collisions Ddos漏洞吧? 最初的时候,开发组给出的修复方案,采用的是如果超过max_input_vars,就报错(E_ERROR),继而导致PHP出错结束,而后来,为了更加轻量级的解决这个问题,我们又改善了一下,变成了如果超过max_input_vars,就发出警告(E_WARNING),并且不再往目的数组添加,但是流程继续,然后我们发布了5.3.9.

这个新的修复方法初衷是好的,但是却带来一个严重的问题(5.3.10中已经修复),这个问题最初是由Stefan Esser发现的,请看之前(5.3.9)最终的修复方案(php_register_variable_ex),代码如下:

  1. while (1) { 
  2.  
  3.      if (zend_symtable_find(symtable1, escaped_index, index_len + 1, (void **) &gpc_element_p) == FAILURE 
  4.  
  5.           || Z_TYPE_PP(gpc_element_p) != IS_ARRAY) { //(3) 
  6.  
  7.           if (zend_hash_num_elements(symtable1) <= PG(max_input_vars)) { // (4) 
  8.  
  9.                if (zend_hash_num_elements(symtable1) == PG(max_input_vars)) { 
  10.  
  11.                     php_error_docref(NULL TSRMLS_CC, E_WARNING, "Input variables exceeded %ld. ...", PG(max_input_vars)); // (1) 
  12.  
  13.                } 
  14.  
  15.                MAKE_STD_ZVAL(gpc_element); 
  16.  
  17.                array_init(gpc_element); 
  18.  
  19.                zend_symtable_update(symtable1, escaped_index, index_len + 1, &gpc_element, sizeof(zval *), (void **) &gpc_element_p); 
  20.  
  21.           } 
  22.  
  23.           //...... 
  24.  
  25.      } 
  26.  
  27.      //..... 
  28.  
  29.      symtable1 = Z_ARRVAL_PP(gpc_element_p); // (2) 
  30.      //开源代码phpfensi.com 
  31.      goto plain; 
  32.  
  33. }< li> 

注意到,如果此时注册一个数组变量(在GET中类似于:a[]=2),并且此时这个变量刚好是第max_input_vars个变量的时候,会触发一个警告(1),此时一切正常.

但是,如果此时还是注册一个数组变量,但是这个变量已经是第max_input_vars + 1个变量的时候,那么此时gpc_element_p将成为一个未初始化的指针,而因为现在逻辑会继续走, 也就会走到(2)号位置, 导致解引用了一个未初始化的指针,于是,Boomb~

那么,到目前位置,我们就可以使用这样的特性来对5.3.9做Ddos了,如果Server开启了Core Dump的话,这个效果会非常明显.

然而,这个问题还会导致一个更严重的问题:

还是上面的代码,在最外层有一个循环,这个循环起作用的时刻在注册类似于a[b]=2的pair对的时候,循环将会执行俩次,第一次插入a[],第二次往a[]中插入b.然后再让我们注意下(3),如果在目的数组中找不到一个想要的元素,**或者这个元素不为数组**,则也会直接导致流程留到(2),于是问题就出现了.

对于这样的POST串(默认max_input_vars是1000):

1=1&1=2&..........&999=1&x="我是恶意的string"&x[0]=

会发生什么事情呢?让我来一步一步描述下:

1.从1到999没什么问题, 都被正常插入

2.x是1000个元素, 所以触发警告, 也没有问题, x被插入

3.x[0]插入的时候,(3)号语句判断发现不是Arrary于是进入if体,但是此时(4)号语句失败, 于是流程最终流到了(2)

4.此时,gpc_element_p指向x,也就是那个我们伪造的字符串….现在让我们看看关键的数据结构,zval,代码如下:

  1. struct _zval_struct { 
  2.  
  3.     /* Variable information */ 
  4.  
  5.     zvalue_value value; /* value */ 
  6.  
  7.     zend_uint refcount__gc; 
  8.  
  9.     zend_uchar type; /* active type */ 
  10.  
  11.     zend_uchar is_ref__gc; 
  12.  
  13. };< li> 

然后看zvalue_value,代码如下:

  1. typedef union _zvalue_value { 
  2.  
  3.     long lval; /* long value */ 
  4.  
  5.     double dval; /* double value */ 
  6.  
  7.     struct { 
  8.  
  9.         char *val; 
  10.  
  11.         int len; 
  12.  
  13.     } str; 
  14.  
  15.     HashTable *ht; /* hash table value */ 
  16.  
  17.     zend_object_value obj; 
  18.  
  19. } zvalue_value;< li> 

zvalue_value是一个联合体,于是我们构造的字符串区域的内存,就会被当做一个Hashtable结构体,代码如下:

  1. typedef struct _hashtable { 
  2.  
  3.     uint nTableSize; 
  4.  
  5.     uint nTableMask; 
  6.  
  7.     uint nNumOfElements; 
  8.  
  9.     ulong nNextFreeElement; 
  10.  
  11.     Bucket *pInternalPointer; /* Used for element traversal */ 
  12.  
  13.     Bucket *pListHead; 
  14.  
  15.     Bucket *pListTail; 
  16.  
  17.     Bucket **arBuckets; 
  18.  
  19.     dtor_func_t pDestructor; //注意这个 
  20.  
  21.     zend_bool persistent; 
  22.  
  23.     unsigned char nApplyCount; 
  24.  
  25.     zend_bool bApplyProtection; 
  26.  
  27. #if ZEND_DEBUG 
  28.  
  29.     int inconsistent; 
  30.  
  31. #endif 
  32.  
  33. } HashTable;< li> 

在Hashtable结构体中,有一个pDestructor,这个指针指向一个函数,当这个Hashtable中有元素要被清除的时候,就会调用它…

也就是说,你可以随心所欲的设置一个地址(pDestructor),然后让PHP去调用它(诱使一个元素被删除).

来顶一下
返回首页
返回首页
推荐资讯
WiFi太不安全:7岁女孩11分钟内入侵公共网络 WiFi太不安全:7岁女孩11分钟内入侵近期刚刚发布研究说WiFi网络能获得人们手机里多少私人信息,
不服跑个分?人工智能也出现“刷分”乱象 不服跑个分?人工智能也出现“刷分2014年,人工智能领域突然爆发,成为了科研和科技创业的热门
相关文章
    无相关信息
栏目更新
栏目热门