PDA

Просмотр полной версии : MOPS-2010-061: PHP SplObjectStorage Deserialization Use-After-Free Vulnerability


python-ptrace
07.07.2010, 21:21
Приветствую всех :)
Собственно, вот:
1. http://www.php-security.org/2010/05/31/mops-2010-060-php-session-serializer-session-data-injection-vulnerability/index.html
2. http://nibbles.tuxfamily.org/?p=1837
По первой ссылке вы можете видеть адвисори Стефана нашего Эссера, где он хвастается remote сплойтом под TikiWiki.
По второй ссылке - исследование данного адвисори другим человеком, который нашел способ использования уязвимости локально.
Задача:
на серваке находится скрипт
<?php unserialize($_GET[a]); ?>
что надо передать скрипту для запуска /bin/sh и иже с ними (то есть удаленный вариант локального сплойта)?
Если кто-то сможет предоставить рабочий вариант (и для пыха 5.2 тоже), я могу поделиться неплохим пятизнаком, а затем можете спускать это все в приват.
Спасибо за внимание)

Qwazar
13.07.2010, 21:47
По первой ссылке вы можете видеть адвисори Стефана нашего Эссера, где он хвастается remote сплойтом под TikiWiki.
Может он там где хитрый евал нашёл в паре с этой багой?

Ctacok
01.08.2010, 20:15
Бага unserialize работает только в обьектах (А может и в классах). У тебя лишь просто половина баги :)

python-ptrace
03.08.2010, 20:01
Может он там где хитрый евал нашёл в паре с этой багой?
---
неа, вот презентация, кстати http://bit.ly/dsXmhi
---
Бага unserialize работает только в обьектах (А может и в классах). У тебя лишь просто половина баги
---
ты вообще о чем? о.О может не стоит говорить о том, чего не знаешь?

Пеныч
27.08.2010, 16:46
кому интересно, подробное описание и пример использования уязвимости локально
http://blog.nibbles.fr/?p=1837

paranoidchaos
02.09.2010, 13:41
Бага unserialize работает только в обьектах (А может и в классах).

то есть вы хотели сказать что объект это экземпляр класса

S00pY
19.09.2010, 17:02
Приветствую всех :)
Собственно, вот:
1. http://www.php-security.org/2010/05/31/mops-2010-060-php-session-serializer-session-data-injection-vulnerability/index.html
2. http://nibbles.tuxfamily.org/?p=1837
По первой ссылке вы можете видеть адвисори Стефана нашего Эссера, где он хвастается remote сплойтом под TikiWiki.
По второй ссылке - исследование данного адвисори другим человеком, который нашел способ использования уязвимости локально.
Задача:
на серваке находится скрипт
<?php unserialize($_GET[a]); ?>
что надо передать скрипту для запуска /bin/sh и иже с ними (то есть удаленный вариант локального сплойта)?
Если кто-то сможет предоставить рабочий вариант (и для пыха 5.2 тоже), я могу поделиться неплохим пятизнаком, а затем можете спускать это все в приват.
Спасибо за внимание)
Вроде как :
Кроме unserialize понадобиться ещё и вывод serialize(unserialize($_GET[a]))....

python-ptrace
12.10.2010, 01:05
Никто и ничего полезного не скажет?... Есть возможность пропихнуть произвольные значения в unserialize в последнем WP...

Pr0xor
25.10.2010, 16:06
Вот пара сылок на тему
http://hi.baidu.com/aullik5/blog/item/2af9810336ba96024bfb5148.html
http://hi.baidu.com/aullik5/blog/item/5a3258b41aff27c336d3ca49.html

Я что то сильно сомневаюсь что обход ASLR, на современных серверах, будет очень простым занятием, да локально ты сможешь подобрать нужные адреса, а вот удаленно я думаю, возникнут сложности.


we will send 2mb traffics to the remote host. is it cool!


А произвольные данные в unserialize, можно много где пропихнуть, так что не стоит надеятся что тебе подобного рода
сплоиты будут рассказывать за пятизнаки -)))))