這個新的修複方法初衷是好的, 但是卻帶來一個嚴重的問題(5.3.10中已經修複), 這個問題最初是由Stefan Esser發現的. 請看之前(5.3.9)最終的修複方案(php_register_variable_ex):
| 代碼如下 | 複製代碼 |
while (1) { if (zend_symtable_find(symtable1, escaped_index, index_len + 1, (void **) &gpc_element_p) == FAILURE || Z_TYPE_PP(gpc_element_p) != IS_ARRAY) { //(3) if (zend_hash_num_elements(symtable1) <= PG(max_input_vars)) { // (4) if (zend_hash_num_elements(symtable1) == PG(max_input_vars)) { php_error_docref(NULL TSRMLS_CC, E_WARNING, "Input variables exceeded %ld. ...", PG(max_input_vars)); // (1) } MAKE_STD_ZVAL(gpc_element); array_init(gpc_element); zend_symtable_update(symtable1, escaped_index, index_len + 1, &gpc_element, sizeof(zval *), (void **) &gpc_element_p); } //...... } //..... symtable1 = Z_ARRVAL_PP(gpc_element_p); // (2) goto plain; }< li> |
|
注意到, 如果此時註冊一個陣列變數(在GET中類似於: a[]=2), 並且此時這個變數剛好是第max_input_vars個變數的時候, 會觸發一個警告(1), 此時一切正常.
但是, 如果此時還是註冊一個陣列變數,但是這個變數已經是第max_input_vars + 1個變數的時候, 那麼此時gpc_element_p將成為一個未初始化的指標, 而因為現在邏輯會繼續走, 也就會走到(2)號位置, 導致解引用了一個未初始化的指標. 於是, Boomb~
那麼, 到目前位置, 我們就可以使用這樣的特性來對5.3.9做Ddos了. 如果Server開啟了Core Dump的話, 這個效果會非常明顯.
然而, 這個問題還會導致一個更嚴重的問題:
還是上面的代碼, 在最外層有一個迴圈, 這個迴圈起作用的時刻在註冊類似於a[b]=2的pair對的時候, 迴圈將會執行倆次, 第一次插入a[], 第二次往a[]中插入b. 然後再讓我們注意下(3), 如果在目的數組中找不到一個想要的元素, **或者這個元素不為數組**, 則也會直接導致流程留到(2), 於是問題就出現了.
對於這樣的POST串(預設max_input_vars是1000):
1=1&1=2&..........&999=1&x="我是惡意的string"&x[0]=
會發生什麼事情呢?
讓我來一步一步描述下:
1. 從1到999沒什麼問題, 都被正常插入
2. x是1000個元素, 所以觸發警告, 也沒有問題, x被插入
3. x[0]插入的時候, (3)號語句判斷髮現不是Arrary於是進入if體, 但是此時(4)號語句失敗, 於是流程最終流到了(2)
4. 此時, gpc_element_p指向x, 也就是那個我們偽造的字串….
現在讓我們看看關鍵的資料結構, zval:
| 代碼如下 | 複製代碼 |
struct _zval_struct { /* Variable information */ zvalue_value value; /* value */ zend_uint refcount__gc; zend_uchar type; /* active type */ zend_uchar is_ref__gc; };< li> |
|
然後看zvalue_value:
| 代碼如下 | 複製代碼 |
typedef union _zvalue_value { long lval; /* long value */ double dval; /* double value */ struct { char *val; int len; } str; HashTable *ht; /* hash table value */ zend_object_value obj; } zvalue_value;< li> |
|
zvalue_value是一個聯合體, 於是我們構造的字串地區的記憶體, 就會被當做一個Hashtable結構體:
| 代碼如下 | 複製代碼 |
typedef struct _hashtable { uint nTableSize; uint nTableMask; uint nNumOfElements; ulong nNextFreeElement; Bucket *pInternalPointer; /* Used for element traversal */ Bucket *pListHead; Bucket *pListTail; Bucket **arBuckets; dtor_func_t pDestructor; //注意這個 zend_bool persistent; unsigned char nApplyCount; zend_bool bApplyProtection; #if ZEND_DEBUG int inconsistent; #endif } HashTable;< li> |
|
在Hashtable結構體中, 有一個pDestructor, 這個指標指向一個函數, 當這個Hashtable中有元素要被清除的時候, 就會調用它…
也就是說, 你可以隨心所欲的設定一個地址(pDestructor), 然後讓PHP去調用它(誘使一個元素被刪除).
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
