Startseite Erkunden Hilfe
Anmelden
SoftwareDesign
/
csu3_am335x
8
0
Fork 0
Dateien Issues 0 Pull-Requests 0 Wiki
Branch: master
Branches Tags
csu3_am335x
/
EVSE
/
GPL
/
php-8.1.12
/
ext
/
gmp
/
tests
/
bug70284.phpt

bug70284.phpt 845 B
Permalink Verlauf Originalformat

1234567891011121314151617181920212223242526272829303132333435363738394041 
  1. --TEST--
    2. 

  2. Bug #70284 (Use after free vulnerability in unserialize() with GMP)
    3. 

  3. --EXTENSIONS--
    4. 

  4. gmp
    5. 

  5. --FILE--
    6. 

  6. <?php
    7. 

  7. 

  8. $inner = 'r:2;a:1:{i:0;a:1:{i:0;r:4;}}';
    9. 

  9. $exploit = 'a:2:{i:0;s:1:"1";i:1;C:3:"GMP":'.strlen($inner).':{'.$inner.'}}';
    10. 

  10. 

  11. $data = unserialize($exploit);
    12. 

  12. 

  13. $fakezval = ptr2str(1122334455);
    14. 

  14. $fakezval .= ptr2str(0);
    15. 

  15. $fakezval .= "\x00\x00\x00\x00";
    16. 

  16. $fakezval .= "\x01";
    17. 

  17. $fakezval .= "\x00";
    18. 

  18. $fakezval .= "\x00\x00";
    19. 

  19. 

  20. for ($i = 0; $i < 5; $i++) {
    21. 

  21.     $v[$i] = $fakezval.$i;
    22. 

  22. }
    23. 

  23. 

  24. var_dump($data);
    25. 

  25. 

  26. function ptr2str($ptr)
    27. 

  27. {
    28. 

  28. $out = '';
    29. 

  29.     for ($i = 0; $i < 8; $i++) {
    30. 

  30.         $out .= chr($ptr & 0xff);
    31. 

  31.         $ptr >>= 8;
    32. 

  32.     }
    33. 

  33.     return $out;
    34. 

  34. }
    35. 

  35. ?>
    36. 

  36. --EXPECTF--
    37. 

  37. Fatal error: Uncaught Exception: Could not unserialize number in %sbug70284.php:6
    38. 

  38. Stack trace:
    39. 

  39. #0 %sbug70284.php(6): unserialize('%s')
    40. 

  40. #1 {main}
    41. 

  41.   thrown in %sbug70284.php on line 6
    42.