源码级剖析PHP 7.2.x GD拒绝服务漏洞

触发条件:

php 7.2.x,开启gd库。只需要三行代码即可完成!

我在本地调试php的时候发现某个老代码能够直接把php给crash掉,因此成文。

源码级剖析PHP 7.2.x GD拒绝服务漏洞

php没有报错,直接死掉了,应该是内部逻辑有问题。再传到服务器上试试:

源码级剖析PHP 7.2.x GD拒绝服务漏洞

啊哈,一样的结果。触发这个问题的代码如下:

$im=imagecreate(100,100);
imageantialias($im,true);
imageline($im,0,0,10,10,0xffffff);

话不多说,上vs调试。先看调用堆栈吧。

源码级剖析PHP 7.2.x GD拒绝服务漏洞

从这里可以看出是在GD库的画像素点的地方出了错,被调试器断在了gdImageSetAAPixelColor这个函数里。

源码级剖析PHP 7.2.x GD拒绝服务漏洞

再看对应代码,访问了gdImagePtr结构体中的一个成员,导致访问违例。我们再从即时窗口检查一下:

源码级剖析PHP 7.2.x GD拒绝服务漏洞

没错,tpixels是个空指针!

那tpixels是干啥的呢?在gd.h里面有如下说明:

/* Truecolor flag and pixels. New 2.0 fields appear here at the
end to minimize breakage of existing object code. */
int trueColor;
int ** tpixels;

看来是和真彩色相关的东西,我们再沿着调用堆栈往前看。

源码级剖析PHP 7.2.x GD拒绝服务漏洞

这里是gdImageAALine函数,一个个点地画线,干的是苦力活。从gdImageLine里调用了它:

源码级剖析PHP 7.2.x GD拒绝服务漏洞

这里的条件判断是是否开启了防锯齿功能。如果我们调用imageantialias函数打开这个功能,那么就会走这里来。

源码级剖析PHP 7.2.x GD拒绝服务漏洞

上面图里就是我们从php调用的imageline函数的实现啦,非常简单。可以看出图片是真彩色的时候它会默认开启防锯齿功能。

这里问题就在于,我们创建(imagecreate)的图片不是真彩色的图,而后我们手动开启了防锯齿(imageantialias),调用进去想当然地把它当作一张真彩色图,从而导致了错误。

最后我们来看看两个函数的不同:

源码级剖析PHP 7.2.x GD拒绝服务漏洞

跟进去,可以看到imagecreate函数调用的gdImageCreate里直接把真彩色相关的成员设为了null。

与之对比,imagecreatetruecolor函数调用的gdImageCreateTrueColor函数里为每个像素点都分配了对应内存并初始化为0了:

源码级剖析PHP 7.2.x GD拒绝服务漏洞

总结一下,从上面分析可以看出,触发这个问题的条件有3个:

1.php版本为7.2.x且开启了gd库

2.创建了非真彩色图且开启抗锯齿

3.在创建的图句柄上进行像素点写入

导致这个问题的原因还是代码修改考虑不周全,引入了新的漏洞;没有对所有可能条件进行测试,所以从php 7.2.0一直到php 7.2.4都还存在问题。

已经向php官方报告,如果正在生产环境使用相关版本请退回旧版本,旧版本里不存在这个问题。

原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/54453.html

(0)
上一篇 2021年8月7日
下一篇 2021年8月7日

相关推荐

发表回复

登录后才能评论