MOPS-2010-061: PHP SplObjectStorage Deserialization Use-After-Free Vulnerability

[python-ptrace]

Приветствую всех
Собственно, вот:
1. http://www.php-security.org/2010/05/...ity/index.html
2. http://nibbles.tuxfamily.org/?p=1837
По первой ссылке вы можете видеть адвисори Стефана нашего Эссера, где он хвастается remote сплойтом под TikiWiki.
По второй ссылке - исследование данного адвисори другим человеком, который нашел способ использования уязвимости локально.
Задача:
на серваке находится скрипт

PHP код:

<?php unserialize($_GET[a]); ?>

что надо передать скрипту для запуска /bin/sh и иже с ними (то есть удаленный вариант локального сплойта)?
Если кто-то сможет предоставить рабочий вариант (и для пыха 5.2 тоже), я могу поделиться неплохим пятизнаком, а затем можете спускать это все в приват.
Спасибо за внимание)

[Qwazar]

Цитата:

Сообщение от M4g

По первой ссылке вы можете видеть адвисори Стефана нашего Эссера, где он хвастается remote сплойтом под TikiWiki.

Может он там где хитрый евал нашёл в паре с этой багой?

[Ctacok]

Бага unserialize работает только в обьектах (А может и в классах). У тебя лишь просто половина баги

[python-ptrace]

Может он там где хитрый евал нашёл в паре с этой багой?
---
неа, вот презентация, кстати http://bit.ly/dsXmhi
---
Бага unserialize работает только в обьектах (А может и в классах). У тебя лишь просто половина баги
---
ты вообще о чем? о.О может не стоит говорить о том, чего не знаешь?

[Пеныч]

кому интересно, подробное описание и пример использования уязвимости локально
http://blog.nibbles.fr/?p=1837

[paranoidchaos]

Цитата:

Бага unserialize работает только в обьектах (А может и в классах).

то есть вы хотели сказать что объект это экземпляр класса

[S00pY]

Цитата:

Сообщение от M4g

Приветствую всех
Собственно, вот:
1. http://www.php-security.org/2010/05/...ity/index.html
2. http://nibbles.tuxfamily.org/?p=1837
По первой ссылке вы можете видеть адвисори Стефана нашего Эссера, где он хвастается remote сплойтом под TikiWiki.
По второй ссылке - исследование данного адвисори другим человеком, который нашел способ использования уязвимости локально.
Задача:
на серваке находится скрипт

PHP код:

<?php unserialize($_GET[a]); ?>

что надо передать скрипту для запуска /bin/sh и иже с ними (то есть удаленный вариант локального сплойта)?
Если кто-то сможет предоставить рабочий вариант (и для пыха 5.2 тоже), я могу поделиться неплохим пятизнаком, а затем можете спускать это все в приват.
Спасибо за внимание)

Вроде как :
Кроме unserialize понадобиться ещё и вывод serialize(unserialize($_GET[a]))....

[python-ptrace]

Никто и ничего полезного не скажет?... Есть возможность пропихнуть произвольные значения в unserialize в последнем WP...

[Pr0xor]

Вот пара сылок на тему
http://hi.baidu.com/aullik5/blog/item/2af9810336ba96024bfb5148.html
http://hi.baidu.com/aullik5/blog/item/5a3258b41aff27c336d3ca49.html

Я что то сильно сомневаюсь что обход ASLR, на современных серверах, будет очень простым занятием, да локально ты сможешь подобрать нужные адреса, а вот удаленно я думаю, возникнут сложности.

Цитата:

we will send 2mb traffics to the remote host. is it cool!

А произвольные данные в unserialize, можно много где пропихнуть, так что не стоит надеятся что тебе подобного рода
сплоиты будут рассказывать за пятизнаки -)))))