Iconv，将字符集设置为RCE：利用glibc来黑掉PHP引擎（第一部分）

在Ambionics最近的博客文章中，揭示了glibc库中一个长达24年的关键漏洞。这个被标识为CVE-2024-2961的漏洞特别引人注目，因为它可以被利用来在PHP引擎内执行远程代码，而PHP是一种广泛用于Web开发的编程语言。这个漏洞位于iconv() API中，当转换为ISO-2022-CN-EXT字符集时，可以将简单的文件读取操作转化为完整的远程代码执行攻击。 这一发现之所以重要，不仅在于漏洞的年龄，还在于它对PHP应用程序的潜在影响。该利用被描述为可靠的，并影响各种PHP版本，可能导致严重后果，如SQL注入和远程代码执行。这可能对各种Web应用程序和服务产生影响。 作者的发现是系列文章的一部分，后续部分将进一步探讨细节。这一初始部分为理解利用PHP过滤器和堆操作的复杂性奠定了基础。对于安全专业人员和PHP开发人员来说，这篇内容是必读的，因为它突显了Web安全领域的不断发展以及对长期存在的漏洞保持警惕的重要性。- 作者发现了一个24年前的glibc缓冲区溢出漏洞，可以利用PHP引擎中的文件读取原语进行攻击。 - PHP的文件读取原语可以读取各种文件，包括/etc/passwd和远程文件。 - PHP还实现了自定义协议，如phar://和php://filter。 - phar://协议在PHP 8.0之后不再反序列化元数据，因此无法再利用。 - php://filter协议可以应用转换器对流进行处理，如base64编码、大小写转换等。 - 作者发现了glibc中的一个漏洞，当转换为ISO-2022-CN-EXT字符集时，可能会发生越界写入。 - 利用该漏洞，可以控制PHP的自定义堆，进而实现任意代码执行。 - 作者开发了一个利用工具，可以在PHP 7.0到8.3的版本上实现远程代码执行。 - 漏洞可以影响各种PHP应用程序，包括WordPress、Laravel等。 - 作者呼吁注意该漏洞的影响，并提醒开发者及时更新修复。