這個新的修復方法初衷是好的, 但是卻帶來一個嚴重的問題(5.3.10中已經修復), 這個問題最初是由Stefan Esser發現的. 請看之前(5.3.9)最終的修復方案(php_register_variable_ex):

代碼如下

while (1) {

if (zend_symtable_find(symtable1, escaped_index, index_len + 1, (void **) &gpc_element_p) == FAILURE

|| Z_TYPE_PP(gpc_element_p) != IS_ARRAY) { //(3)

if (zend_hash_num_elements(symtable1) <= PG(max_input_vars)) { // (4)

if (zend_hash_num_elements(symtable1) == PG(max_input_vars)) {

php_error_docref(NULL TSRMLS_CC, E_WARNING, "Input variables exceeded %ld. ...", PG(max_input_vars)); // (1)

}

MAKE_STD_ZVAL(gpc_element);

array_init(gpc_element);

zend_symtable_update(symtable1, escaped_index, index_len + 1, &gpc_element, sizeof(zval *), (void **) &gpc_element_p);

}

//......

}

//.....

symtable1 = Z_ARRVAL_PP(gpc_element_p); // (2)

goto plain;

}< li>

注意到, 如果此時注冊一個數組變量(在GET中類似于: a[]=2), 并且此時這個變量剛好是第max_input_vars個變量的時候, 會觸發一個警告(1), 此時一切正常.

但是, 如果此時還是注冊一個數組變量,但是這個變量已經是第max_input_vars + 1個變量的時候, 那么此時gpc_element_p將成為一個未初始化的指針, 而因為現在邏輯會繼續走, 也就會走到(2)號位置, 導致解引用了一個未初始化的指針. 于是, Boomb~

那么, 到目前位置, 我們就可以使用這樣的特性來對5.3.9做Ddos了. 如果Server開啟了Core Dump的話, 這個效果會非常明顯.

然而, 這個問題還會導致一個更嚴重的問題:

還是上面的代碼, 在最外層有一個循環, 這個循環起作用的時刻在注冊類似于a[b]=2的pair對的時候, 循環將會執行倆次, 第一次插入a[], 第二次往a[]中插入b. 然后再讓我們注意下(3), 如果在目的數組中找不到一個想要的元素, **或者這個元素不為數組**, 則也會直接導致流程留到(2), 于是問題就出現了.

對于這樣的POST串(默認max_input_vars是1000):

1=1&1=2&..........&999=1&x="我是惡意的string"&x[0]=

會發生什么事情呢?

讓我來一步一步描述下:

1. 從1到999沒什么問題, 都被正常插入

2. x是1000個元素, 所以觸發警告, 也沒有問題, x被插入

3. x[0]插入的時候, (3)號語句判斷發現不是Arrary于是進入if體, 但是此時(4)號語句失敗, 于是流程最終流到了(2)

4. 此時, gpc_element_p指向x, 也就是那個我們偽造的字符串….

現在讓我們看看關鍵的數據結構, zval:

代碼如下

struct _zval_struct {

/* Variable information */

zvalue_value value; /* value */

zend_uint refcount__gc;

zend_uchar type; /* active type */

zend_uchar is_ref__gc;

};< li>

然后看zvalue_value:

代碼如下

typedef union _zvalue_value {

long lval; /* long value */

double dval; /* double value */

struct {

char *val;

int len;

} str;

HashTable *ht; /* hash table value */

zend_object_value obj;

} zvalue_value;< li>

zvalue_value是一個聯合體, 于是我們構造的字符串區域的內存, 就會被當做一個Hashtable結構體:

代碼如下

typedef struct _hashtable {

uint nTableSize;

uint nTableMask;

uint nNumOfElements;

ulong nNextFreeElement;

Bucket *pInternalPointer; /* Used for element traversal */

Bucket *pListHead;

Bucket *pListTail;

Bucket **arBuckets;

dtor_func_t pDestructor; //注意這個

zend_bool persistent;

unsigned char nApplyCount;

zend_bool bApplyProtection;

#if ZEND_DEBUG

int inconsistent;

#endif

} HashTable;< li>

在Hashtable結構體中, 有一個pDestructor, 這個指針指向一個函數, 當這個Hashtable中有元素要被清除的時候, 就會調用它…

也就是說, 你可以隨心所欲的設置一個地址(pDestructor), 然后讓PHP去調用它(誘使一個元素被刪除).

總結

以上是生活随笔為你收集整理的php 5.3.9 漏洞,PHP-5.3.9远程执行任意代码漏洞(CVE-2012-0830) 详解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。