GDB调试CVE-2018-5711 PHP-GD拒绝服务漏洞

*本文原创作者:xiaoyinglicai,属于Freebuf原创奖励计划,禁止转载

下载、编译PHP源码

从github的PHP-src克隆下含有漏洞的版本,最好采取7.0以上版本,编译时候会比较简单,本次选用PHP7.1.9。编译环境为 阿里云 Ubuntu 16.04 LTS

git clone --branch PHP-7.1.9 https://github.com/php/php-src
Cloning into 'php-src'...
remote: Counting objects: 725575, done.
remote: Compressing objects: 100% (34/34), done.
remote: Total 725575 (delta 11), reused 12 (delta 3), pack-reused 725538
Receiving objects: 100% (725575/725575), 301.72 MiB | 11.96 MiB/s, done.
Resolving deltas: 100% (562883/562883), done.
Checking connectivity... done.

由于下载的源码是没有configure文件的,首先要编译buildconf文件

./buildconf --force

可以使用-h选项看到帮助

./configure -h  

为了方便快速编译,我编写了一个脚本。 因为我们要来调试gd,所以要加上 with-gd

#!/bin/sh
make distclean
./buildconf --force
./configure 
        --enable-maintainer-zts 
        --enable-debug 
        --enable-cli 
        --with-gd 
        "[email protected]"

配置好后一般会有错误提示,如果无错误提示可以使用 make -j2 来编译源码。由于我采用的是阿里云单核主机,所以使用j2参数。检测安装情况

sapi/cli/php -v
PHP 7.1.9 (cli) (built: Feb  2 2018 11:28:48) ( ZTS DEBUG )
Copyright (c) 1997-2017 The PHP Group
Zend Engine v3.1.0, Copyright (c) 1998-2017 Zend Technologies

可以看到目前PHP和gd库已经正常安装。

安装GDBGUI

为了方便我们的调试,我们安装一个很方便的GDBGUI,具体的网址可以GOOGLE一下。 快速安装的命令为

pip install gdbgui

以后我们可以运行gdbgui来进行远程调试。记得加上–auth选项,-r选项开启外网访问。

screen gdbgui -r --auth  
View gdbgui at http://0.0.0.0:5000
exit gdbgui by pressing CTRL+C

开始调试

运行后PHP后可以发现触发漏洞

然后我们来部署一下POC环境

/usr/src/php-src/sapi/cli/php

在命令行输入参数 开始执行

 run /root/poc.php

根据之前的问题分析,我们定位到问题出现在源码/usr/src/php-src/ext/gd/libgd/gd_ gif_in.c 中我们在左侧输入地址,并在 gdImageCreateFromGifCtx 函数放置断点

运行到断点处

Breakpoint 3, php_gd_gdImageCreateFromGifCtx (fd=0x7ffff4077000) at /usr/src/php-src/ext/gd/libgd/gd_gif_in.c:135

观察一下上下文目前并没什么特别。一路运行到 第214行 ,前面全部是GIF头和color table的解析,如果文件结构不合理,会返回并提示 invalid GIF file.

可以看到目前处理字符是 逗号 (0x2c),如果我们查看 poc.gif 的话。已经处理到了20位置,

继续向后读取9个 bytes之后到达 29h 位置。后面的03 FF为触发漏洞的第一处关键。

继续向下执行,进入到ReadImage方法,到代码 568行,读取了一个byte (03) 去与 MAX_LWZ_BITS 做比较,只有小约等于MAX_LWZ_BITS的时候才会继续进行。MAX_LWZ_BITS定义为12.

一路步入LWZReadByte_方法, 第一次调用是在做一些初始化操作。

随后进入while loop中,flag为0且sd->fresh为true, 进入第458行。 (如果为了方便可以直接在这里下断点。 随后进入真正触发漏洞的do while loop)

此个do while loop的终止条件为sd->firstcode != sd->clear_code ,

其中 sd->clear_code = 8 , sd->codesize = 4 , *ZeroDataBlockP = 0 。

first code为GetCode的返回值。当first_code为8的时候,此处循环就会继续进行

步入GetCode 首先是一系列判断数据长度的对循环终止条件的判断。

此处发现,如果 scd->done 为true时候会返回-1 ,同时结束外层do while loop。

接下来走到了第398行,此处为本次漏洞的第一现场,由于count为unsigned char,而GetDataBlock 读取文件完毕后会返回-1。 而count不会被至于-1。

截止至此,其他的大多文章都分析到这里。我对GIF的构造和具体的问题成因还是很感兴趣,所以我们在深入一层,结合GIF的构造,探索造成问题的根源。水平有限,如果有问题请尽情指正

步入GetDataBlock_ 方法。 继续步入ReadOK, ctx->getBuf 通过一个动态指针调用到 fileGetbuf 方法。

fileGetbuf 中会 fread 方法读取文件内内容。

size_t fread ( void *buffer, size_t size, size_t count, FILE *stream) ;

对参数进行分析。 buf为存储数据的目标, size为1, count为1,最后一个为数据源。

即是此处从stream中读取1个1byte数据到buffer中。 并返回成功读取的大小。

此处我们可以看到 fctx->f 即将被读取的为 ff 。

执行后 返回数值为1. buf中第一个byte为 ff. 回到 GetDataBlock领空之后的stack状态为 count = 255 (ff)

进入下一个if条件,再次进入 fileGetbuf 其中 size为 255. 读取的内容即为 ff 后面的 垃圾数据

载入位置为 之前 ff所在位置(0x7ffffffe9877)+255 = 0x7fffffff9b62

再次回到GetDataBlock领空 此时count为 255(0xff), buf中储存的是随后的GIF中的数据(0×88)。

一路读取数据 直到 scd->buf 装满我们构造的数据。

继续执行若干次后进入了死循环,触发漏洞。

对跳出循环条件进行分析,除了其中一个跳出条件为异常处理外,另外两处

  1. Line 398: scd->done = TRUE; 这个理论上来说应该是文件读取完成后,由GetDataBlock返回-1从而退出循环,但是本次漏洞根源即为count无法为负值,因此不可行
  2. Line 411: ret |= ((scd->buf[i / 8] & (1 << (i % 8))) != 0) <clear_code即为8 从而导致无法退出循环。

我们也可以尝试,如果我们使用77替换POC.gif中的88后,并无法触发漏洞。因为ret处将取值为7,从而满足 sd->first_code != sd->clear_code。 因此精心构造的poc可以在利用条件1的基础上,构造满足条件2的情况即可触发漏洞。

修补方法

可以看到,官网对本漏洞的修补即为将count的类型变更为int。 即保证当文件读取完成后可以退出循环。

*本文原创作者:xiaoyinglicai,属于Freebuf原创奖励计划,禁止转载

FreeBuf稿源:FreeBuf (源链) | 关于 | 阅读提示

本站遵循[CC BY-NC-SA 4.0]。如您有版权、意见投诉等问题,请通过eMail联系我们处理。
酷辣虫 » 综合编程 » GDB调试CVE-2018-5711 PHP-GD拒绝服务漏洞

喜欢 (0)or分享给?

专业 x 专注 x 聚合 x 分享 CC BY-NC-SA 4.0

使用声明 | 英豪名录