PHP项目修复全部对PHP 5.3以上版本造成影响的安全问题

E安全7月25日讯 一支由三名研究人员组成的安全研究团队正积极搜索并发现一项PHP零日漏洞，旨在利用其在官方bug赏金项目当中攻克PornHub（Pornhub是一个色情影片分享网站。它有可能是网上最大的色情影片分享网站。他们在安全方面特别重视，喜欢搞赏金项目增强自身安全水平）。

这三名研究人员所遵循的PornHub入侵之道与常规安全研究有所不同。由于PornHub服务器能够抵御相当程度的常规攻击向量，因此研究人员们被迫在攻击手段层面纳入更多创新型成果。

在这样的背景下，他们决定使用PHP中的零日漏洞——顺带一提，PornHub网站正是使用这款编程语言建立而成。

零日漏洞影响到所有运行有PHP 5.3及更高版本的服务器

此次发现的问题（CVE-2016-5771 / CVE-2016-5773）为一项释放掉部分原本占用的内存，而后利用原有地址分配执行攻击者指定代码的漏洞，可在PHP的垃圾回收算法与其它特定PHP对象交互时发挥作用。

此类对象之一在于PHP的反序列化函数，其负责处理提取自用户提交对象中的数据，例如用户上传并在服务器中不同会话间传递以进行处理的数据。

通过这项零日漏洞的帮助，Dario Weißer（@haxonaut）、cutz与Ruslan Habalov（@evonide）三名研究人员得以泄露服务器的POST数据地址。

在此基础之上，他们能够在PHP反序列化组件完成其任务之后，利用专门设计的负载占用这部分由PHP垃圾回收机制释放的内存空间，从而 在PornHub服务器上执行流氓代码。

这一漏洞利用难度颇高，因为PornHub使用的是PHP的一款定制化编译版本，不过研究人员们仍然找到了应对之法。

他们发现的此项PHP零日漏洞会影响到全部PHP 5.3以及更高版本，而PHP项目也立即对相关问题进行了修复。

艰难工作帮助研究员们赢得22000美元

由于这三名研究人员得以实现PornHub RCE（即远程代码执行），因此赢得了Pornhub方面提供的最高奖励之一，金额为2万美元。

另外，HackerOne互联网bug赏金委员会也为这几名研究人员提供2000美元，用于奖励他们发现并合理披露此项PHP零日漏洞。

根据Habalov的介绍，“这些漏洞即使是在不同类型的PHP环境当中，仍然能够利用反序列化机制实现可靠的远程代码执行能力。”他同时建议称，“大家千万不要在反序列化中使用用户数据。事实证明，即使是最新版本的PHP也无力保护反序列化操作，因此请避免或者使用复杂度较低的序列化方法，例如JSON。”

该研究小组已经借此掌握到了PornHub网站的大量敏感数据，包括用户信息、用户追踪、行为观察、源代码泄漏、root权限乃至进一步入侵深层网络等等。

详细分析报告：https://www.evonide.com/how-we-broke-php-hacked-pornhub-and-earned-20000-dollar/