Старый 07.07.2010, 22:21   #1
python-ptrace
Banned
 
Регистрация: 07.07.2010
Сообщений: 16
Репутация: 14
Exclamation MOPS-2010-061: PHP SplObjectStorage Deserialization Use-After-Free Vulnerability

Приветствую всех
Собственно, вот:
1. http://www.php-security.org/2010/05/...ity/index.html
2. http://nibbles.tuxfamily.org/?p=1837
По первой ссылке вы можете видеть адвисори Стефана нашего Эссера, где он хвастается remote сплойтом под TikiWiki.
По второй ссылке - исследование данного адвисори другим человеком, который нашел способ использования уязвимости локально.
Задача:
на серваке находится скрипт
PHP код:
<?php unserialize($_GET[a]); ?>
что надо передать скрипту для запуска /bin/sh и иже с ними (то есть удаленный вариант локального сплойта)?
Если кто-то сможет предоставить рабочий вариант (и для пыха 5.2 тоже), я могу поделиться неплохим пятизнаком, а затем можете спускать это все в приват.
Спасибо за внимание)
python-ptrace вне форума   Ответить с цитированием
Старый 13.07.2010, 22:47   #2
Qwazar
 
Регистрация: 09.07.2010
Сообщений: 376
Репутация: 154
По умолчанию

Цитата:
Сообщение от M4g Посмотреть сообщение
По первой ссылке вы можете видеть адвисори Стефана нашего Эссера, где он хвастается remote сплойтом под TikiWiki.
Может он там где хитрый евал нашёл в паре с этой багой?
Qwazar вне форума   Ответить с цитированием
Старый 01.08.2010, 21:15   #3
Ctacok
 
Аватар для Ctacok
 
Регистрация: 06.07.2010
Сообщений: 127
Репутация: 49
По умолчанию

Бага unserialize работает только в обьектах (А может и в классах). У тебя лишь просто половина баги
__________________
Twitter - @Ctacok
Ctacok вне форума   Ответить с цитированием
Старый 03.08.2010, 21:01   #4
python-ptrace
Banned
 
Регистрация: 07.07.2010
Сообщений: 16
Репутация: 14
По умолчанию

Может он там где хитрый евал нашёл в паре с этой багой?
---
неа, вот презентация, кстати http://bit.ly/dsXmhi
---
Бага unserialize работает только в обьектах (А может и в классах). У тебя лишь просто половина баги
---
ты вообще о чем? о.О может не стоит говорить о том, чего не знаешь?
python-ptrace вне форума   Ответить с цитированием
Старый 27.08.2010, 17:46   #5
Пеныч
 
Аватар для Пеныч
 
Регистрация: 06.07.2010
Сообщений: 20
Репутация: -2
По умолчанию

кому интересно, подробное описание и пример использования уязвимости локально
http://blog.nibbles.fr/?p=1837
__________________
сытый школьник.
http://img697.imageshack.us/img697/8164/userbara.gif
... и какраз таки не егорыч сделал античат, а античат сделал егорыча
Пеныч вне форума   Ответить с цитированием
Старый 02.09.2010, 14:41   #6
paranoidchaos
Banned
 
Регистрация: 02.09.2010
Сообщений: 59
Репутация: -6
По умолчанию

Цитата:
Бага unserialize работает только в обьектах (А может и в классах).
то есть вы хотели сказать что объект это экземпляр класса
paranoidchaos вне форума   Ответить с цитированием
Старый 19.09.2010, 18:02   #7
S00pY
 
Аватар для S00pY
 
Регистрация: 06.07.2010
Сообщений: 38
Репутация: 35
По умолчанию

Цитата:
Сообщение от M4g Посмотреть сообщение
Приветствую всех
Собственно, вот:
1. http://www.php-security.org/2010/05/...ity/index.html
2. http://nibbles.tuxfamily.org/?p=1837
По первой ссылке вы можете видеть адвисори Стефана нашего Эссера, где он хвастается remote сплойтом под TikiWiki.
По второй ссылке - исследование данного адвисори другим человеком, который нашел способ использования уязвимости локально.
Задача:
на серваке находится скрипт
PHP код:
<?php unserialize($_GET[a]); ?>

что надо передать скрипту для запуска /bin/sh и иже с ними (то есть удаленный вариант локального сплойта)?
Если кто-то сможет предоставить рабочий вариант (и для пыха 5.2 тоже), я могу поделиться неплохим пятизнаком, а затем можете спускать это все в приват.
Спасибо за внимание)
Вроде как :
Кроме unserialize понадобиться ещё и вывод serialize(unserialize($_GET[a]))....
S00pY вне форума   Ответить с цитированием
Старый 12.10.2010, 02:05   #8
python-ptrace
Banned
 
Регистрация: 07.07.2010
Сообщений: 16
Репутация: 14
По умолчанию

Никто и ничего полезного не скажет?... Есть возможность пропихнуть произвольные значения в unserialize в последнем WP...
python-ptrace вне форума   Ответить с цитированием
Старый 25.10.2010, 17:06   #9
Pr0xor
 
Регистрация: 27.08.2010
Сообщений: 158
Репутация: 69
По умолчанию

Вот пара сылок на тему
http://hi.baidu.com/aullik5/blog/item/2af9810336ba96024bfb5148.html
http://hi.baidu.com/aullik5/blog/item/5a3258b41aff27c336d3ca49.html

Я что то сильно сомневаюсь что обход ASLR, на современных серверах, будет очень простым занятием, да локально ты сможешь подобрать нужные адреса, а вот удаленно я думаю, возникнут сложности.

Цитата:
we will send 2mb traffics to the remote host. is it cool!
А произвольные данные в unserialize, можно много где пропихнуть, так что не стоит надеятся что тебе подобного рода
сплоиты будут рассказывать за пятизнаки -)))))
Pr0xor вне форума   Ответить с цитированием
Ответ

Метки
mops, unserialize

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot