从某达OA到Yii2框架的cookie反序列化漏洞研究

最新推荐文章于 2024-05-13 00:22:59 发布
最新推荐文章于 2024-05-13 00:22:59 发布
阅读量555 收藏
点赞数 3
文章标签: 网络安全 安全 web安全 数据库 系统安全 计算机网络 网络攻击模型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HUANGXIN9898/article/details/133585267
版权

序言

近期网上流传的某达OA存在PHP反序列化漏洞,导致命令执行。因为该漏洞底层是Yii2框架的漏洞,所以搭建好了Yii2框架环境,在Yii2框架的环境下来进行模拟研究,希望能达到举一反三和类比分析学习的目的。该cookie处反序列化漏洞属于通用型漏洞,如果使用了Yii2框架进行应用开发,若泄露了config/web.php中的cookieValidationKey值、且符合特定Yii2漏洞版本以及PHP版本小于7,那么可能存在此反序列化漏洞,从而导致恶意代码执行。笔者能力有限,如有理解不当之处,希望大师傅们批评指正!

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

一、反序列化的入口与条件

1.hash验证数据

我们在cookie处提交的参数,被送到了这个validateData方法处,在这里$data的内容会被拆分。在期间其经历了一次hash值校验。我们只要用它提供的加密算法和密钥进行加密,生成数据,就能通过所有的校验,然后进入我们期望的**return $pureData;**环节。

1695352559_650d06efa152204f4d3f6.png!small?1695352557969

源代码如下:

public function validateData($data, $key, $rawHash = false)
    {
        $test = @hash_hmac($this->macHash, '', '', $rawHash);
        if (!$test) {
            throw new InvalidConfigException('Failed to generate HMAC with hash algorithm: ' . $this->macHash);
        }
        $hashLength = StringHelper::byteLength($test);
        if (StringHelper::byteLength($data) >= $hashLength) {
            $hash = StringHelper::byteSubstr($data, 0, $hashLength);
            $pureData = StringHelper::byteSubstr($data, $hashLength, null);

            $calculatedHash = hash_hmac($this->macHash, $pureData, $key, $rawHash);

            if ($this->compareString($hash, $calculatedHash)) {
                return $pureData;
            }
        }

        return false;
    }

2.php版本限制

上面的validateData方法,返回结果后,就回到了loadCookies方法。这里存在一个反序列化入口,就是下图else分支的内容,我们上一方法得到的反序列化数据会进入我们的反序列化入口(注意,allowed_classes 被设置为 false,则在反序列化过程中不会创建对象,只会还原基本数据类型,例如字符串、整数、数组等)。所以我们可以发现,在Yii2框架默认的环境下要进行这个反序列化操作,对php的版本是有所限制的,如下图,可以发现我们的版本中PHP_VERSION_ID 要小于70000才能到达我们期望的反序列化入口

1695352569_650d06f971f242e402384.png!small?1695352568206

源代码如下:

protected function loadCookies()
    {
        $cookies = [];
        if ($this->enableCookieValidation) {
            if ($this->cookieValidationKey == '') {
                throw new InvalidConfigException(get_class($this) . '::cookieValidationKey must be configured with a secret key.');
            }
            foreach ($_COOKIE as $name => $value) {
                if (!is_string($value)) {
                    continue;
                }
                $data = Yii::$app->getSecurity()->validateData($value, $this->cookieValidationKey);
                if ($data === false) {
                    continue;
                }
                if (defined('PHP_VERSION_ID') && PHP_VERSION_ID >= 70000) {
                    $data = @unserialize($data, ['allowed_classes' => false]);
                } else {
                    $data = @unserialize($data);
                }
                ......
            }
        } else {
            ......
        }

        return $cookies;
    }

下面我们先直接展示漏洞利用结果。我们可以从调用栈看到已经在进行我们的反序列化过程了。最终弹出计算机验证确实存在此漏洞。

1695352583_650d070734cedae52437f.png!small?1695352581916

run方法如下:

public function run()
{
    if ($this->checkAccess) {
        call_user_func($this->checkAccess, $this->id);
}

最低0.47元/天 解锁文章
程序员西西
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Yii2框架 反序列化漏洞复现(CVE-2020-15148)
snowlyzz的博客
10-25 1745
yii2框架 反序列化漏洞复现
yii2框架 反序列化漏洞复现
Zero_Adam的博客
06-19 1242
前言 跟着feng师傅再学习一下yii2反序列化漏洞,提高代码审计能力 漏洞出现在yii2.0.38之前的版本中,在2.0.38进行了修复,CVE编号是CVE-2020-15148: Yii 2 (yiisoft/yii2) before version 2.0.38 is vulnerable to remote code execution if the application calls unserialize() on arbitrary user input. This is fixed in
yii2反序列化代码审计cve漏洞复现
giaogiao123的博客
08-18 498
一环境 环境准备环境搭建 yii版本2.0.37和2.0.38 php版本 7.1 下载完打包,直接在 php yii serve 访问localhost:8080 二.分析漏洞 漏洞出发点 在\yii\vendor\yiisoft\yii2\db\BatchQueryResult.php文件中, 跟进reset 我们这里的_dataReader可控,然后$this->_dataREader->close(),触发__call方法(访问不存在的方法时触发)。 在\yii\vendor\f
yii2反序列化漏洞总结
unexpectedthing的博客
03-29 4648
文章目录yii2框架 反序列化漏洞复现yii 框架搭建过程CVE-2020-15148复现链子2链子3链子4链子5链子6参考链接 yii2框架 反序列化漏洞复现 yii 框架 Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。 Yii
Goby 漏洞发布|天擎终端安全管理系统 YII_CSRF_TOKEN 远程代码执行漏洞_奇安信天擎漏洞(1)
最新发布
2401_84302761的博客
05-13 848
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
yii反序列化漏洞复现及利用
weixin_44576725的博客
04-06 5533
yii反序列化漏洞 Yii框架 Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。 Yii 当前有两个主要版本:1.1 和 2.0。 1.1 版是上代的老版本,现在处于维护状态。 2.0 版是一个完全重写的版本,采用了最新的技术和协议
Yii文件包含漏洞分析
springgold的博客
05-20 1889
yii文件包含漏洞 触发点 public function actionIndex() { // $this->render('index'); $name =Yii::app()->request->getParam( 'name' ); $this->render('index', $name); } render 函数 public function render($view, $para
Yii框架操作cookie与session的方法实例详解
01-02
本文实例讲述了Yii框架操作cookie与session的方法。分享给大家供大家参考,具体如下: cookie操作 设置cookie //获取response->cookies组件 $cookies = \Yii::$app->response->cookies; //设置cookie数组 $array_...
从零开始学YII2框架(一)通过Composer安装Yii2框架
10-25
今天终于搞明白怎么安装Yii2了。对于我这种小白来说真是费尽周折。下面来介绍下如何安装Composer和如何使用Composer安装Yii2
从零开始学YII2框架(四)扩展插件yii2-kartikgii
12-18
1. 从零开始学YII2框架(五)快速生成代码工具 Gii 的使用 2. Yii 访问 Gii(脚手架)时出现 403 错误的解决方案 3. 深入浅析yii2-gii自定义模板的方法 4. Yii查询生成器(Query Builder)用法实例教程 5. Yii不依赖...
Yii2框架构建高性能restful接口
06-16
通过本系列课程的学习,达到可以用Yii2自主...并且,通过本课程学习,开发者可以充分的理解Yii2接口的灵活性,其中包括:按需取值,自由扩展,标准统一的接口开发意义,并享受一个强大开发框架带来得开发效率的提升。
Goby 漏洞发布|天擎终端安全管理系统 YII_CSRF_TOKEN 远程代码执行漏洞
m0_46699477的博客
07-19 2212
奇安信天擎是奇安信集团旗下一款致力于一体化终端安全解决方案的终端安全管理系统(简称“天擎”)产品。奇安信天擎终端安全管理系统web部分使用yii框架 该版本框架自带反序列化入口点,攻击者可执行任意代码获取服务器权限。
Yii2 反序列化漏洞(CVE-2020-15148)复现
锋刃科技的博客
12-16 9331
漏洞概述 Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize 时,攻击者可通过构造特定的恶意请求执行任意命令。 环境搭建 到github上下载yii2的2.0.37版本 https://github.com/yiisoft/yii2/releases/tag/2.0.37 然后修改/config/web.php文件17行cookieValidationKey,可以随便定义 ...
YII链子学习反序列化
liubi32326的博客
10-14 720
YII反序列化链子学习思路: 入门学习反序列化的不二选择就是去yii框架中找链子。这也我是总结其他大佬挖的链子做的简单的、略为清晰一点复现尝试 第一条:CVE-2020-15148(0day) 思路: 首先肯定根据一个反序列化的点构造一条链。目前来说,只有__destruct和__wakeup这两个魔术方法可以使用 魔术方法__destruct,在对象被销毁前被调用。从系统结构的角度讲,其最常见的场景是关闭某些功能。比如关闭文件流,更新数据等。但从反序列化的角度讲,其特殊的使用场景,代表在这个方法内可能会调
Yii2反序列化漏洞复现
SimoSimoSimo的博客
07-12 1273
Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。Yii2 2.0.38 以前的版本中存在反序列化漏洞,CVE编号是CVE-2020-15148到github上下载yii2的2.0.37版本打开 /config/web.php给17行的cookieValidationKey添加一个值,随便什么都行不添加就
Yii2框架学习与实战:从基础到高级
"这篇文档详细介绍了Yii2框架的使用,从基础到深入,结合实际案例,适合PHP开发者学习。文档涵盖了Yii2的安装过程,包括手动下载和使用Composer进行安装,以及如何通过Composer管理前端资源如Bootstrap和jQuery。" ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值