찾다
php教程php手册PHP-5.3.9远程执行任意代码漏洞

还记得我之前说的PHP Hash Collisions Ddos漏洞吧? 最初的时候,开发组给出的修复方案,采用的是如果超过max_input_vars,就报错(E_ERROR),继而导致PHP出错结束,而后来,为了更加轻量级的解决这个问题,我们又改善了一下,变成了如果超过max_input_vars,就发出警告(E_WARNING),并且不再往目的数组添加,但是流程继续,然后我们发布了5.3.9.

这个新的修复方法初衷是好的,但是却带来一个严重的问题(5.3.10中已经修复),这个问题最初是由Stefan Esser发现的,请看之前(5.3.9)最终的修复方案(php_register_variable_ex),代码如下:

while (1) { 
 if (zend_symtable_find(symtable1, escaped_index, index_len + 1, (void **) &gpc_element_p) == FAILURE 
  || Z_TYPE_PP(gpc_element_p) != IS_ARRAY) { //(3) 
  if (zend_hash_num_elements(symtable1) <= PG(max_input_vars)) { // (4) 
   if (zend_hash_num_elements(symtable1) == PG(max_input_vars)) { 
php_error_docref(NULL TSRMLS_CC, E_WARNING, "Input variables exceeded %ld. ...", PG(max_input_vars)); // (1) 
   } 
   MAKE_STD_ZVAL(gpc_element); 
   array_init(gpc_element); 
   zend_symtable_update(symtable1, escaped_index, index_len + 1, &gpc_element, sizeof(zval *), (void **) &gpc_element_p); 
  } 
  //...... 
 } 
 //..... 
 symtable1 = Z_ARRVAL_PP(gpc_element_p); // (2) 
 
 goto plain; 
}

注意到,如果此时注册一个数组变量(在GET中类似于:a[]=2),并且此时这个变量刚好是第max_input_vars个变量的时候,会触发一个警告(1),此时一切正常.

但是,如果此时还是注册一个数组变量,但是这个变量已经是第max_input_vars + 1个变量的时候,那么此时gpc_element_p将成为一个未初始化的指针,而因为现在逻辑会继续走, 也就会走到(2)号位置, 导致解引用了一个未初始化的指针,于是,Boomb~

那么,到目前位置,我们就可以使用这样的特性来对5.3.9做Ddos了,如果Server开启了Core Dump的话,这个效果会非常明显.

然而,这个问题还会导致一个更严重的问题:

还是上面的代码,在最外层有一个循环,这个循环起作用的时刻在注册类似于a[b]=2的pair对的时候,循环将会执行俩次,第一次插入a[],第二次往a[]中插入b.然后再让我们注意下(3),如果在目的数组中找不到一个想要的元素,**或者这个元素不为数组**,则也会直接导致流程留到(2),于是问题就出现了.

对于这样的POST串(默认max_input_vars是1000):

1=1&1=2&..........&999=1&x="我是恶意的string"&x[0]=

会发生什么事情呢?让我来一步一步描述下:

1.从1到999没什么问题, 都被正常插入

2.x是1000个元素, 所以触发警告, 也没有问题, x被插入

3.x[0]插入的时候,(3)号语句判断发现不是Arrary于是进入if体,但是此时(4)号语句失败, 于是流程最终流到了(2)

4.此时,gpc_element_p指向x,也就是那个我们伪造的字符串….现在让我们看看关键的数据结构,zval,代码如下:

struct _zval_struct { 
/* Variable information */ 
zvalue_value value; /* value */ 
zend_uint refcount__gc; 
zend_uchar type; /* active type */ 
zend_uchar is_ref__gc; 
};

然后看zvalue_value,代码如下:

typedef union _zvalue_value { 
long lval; /* long value */ 
double dval; /* double value */ 
struct { 
char *val; 
int len; 
} str; 
HashTable *ht; /* hash table value */ 
zend_object_value obj; 
} zvalue_value;

zvalue_value是一个联合体,于是我们构造的字符串区域的内存,就会被当做一个Hashtable结构体,代码如下:

typedef struct _hashtable { 
uint nTableSize; 
uint nTableMask; 
uint nNumOfElements; 
ulong nNextFreeElement; 
Bucket *pInternalPointer; /* Used for element traversal */ 
Bucket *pListHead; 
Bucket *pListTail; 
Bucket **arBuckets; 
dtor_func_t pDestructor; //注意这个 
zend_bool persistent; 
unsigned char nApplyCount; 
zend_bool bApplyProtection; 
#if ZEND_DEBUG 
int inconsistent; 
#endif 
} HashTable;

在Hashtable结构体中,有一个pDestructor,这个指针指向一个函数,当这个Hashtable中有元素要被清除的时候,就会调用它…

也就是说,你可以随心所欲的设置一个地址(pDestructor),然后让PHP去调用它(诱使一个元素被删除).                                        


本文地址:

转载随意,但请附上文章地址:-)

성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

Video Face Swap

Video Face Swap

완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!

뜨거운 도구

스튜디오 13.0.1 보내기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

드림위버 CS6

시각적 웹 개발 도구

에디트플러스 중국어 크랙 버전

에디트플러스 중국어 크랙 버전

작은 크기, 구문 강조, 코드 프롬프트 기능을 지원하지 않음

SublimeText3 영어 버전

SublimeText3 영어 버전

권장 사항: Win 버전, 코드 프롬프트 지원!

MinGW - Windows용 미니멀리스트 GNU

MinGW - Windows용 미니멀리스트 GNU

이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.