从某达OA到Yii2框架的cookie反序列化漏洞研究

已于 2023-10-17 12:10:08 修改
阅读量1.3k 收藏
点赞数
分类专栏: 技术干货 文章标签: android 网络安全 安全 web安全 前端 xss
于 2023-10-08 12:07:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackzkaq/article/details/133675323
版权
本文深入探讨了某达OA基于Yii2框架的PHP反序列化漏洞,详细解析了漏洞的入口条件、PHP版本限制、cookieValidationKey的重要性,以及如何预防此类漏洞。研究还涉及了PHPSESSID在反序列化链中的角色和500状态码的判断方法,旨在提高对这类安全问题的认识。
摘要由CSDN通过智能技术生成

目录

序言

一、反序列化的入口与条件

1.hash验证数据

2.php版本限制

二、config/web.php中的cookieValidationKey值

三、将反序列化数据从cookie中提取出来

四、关于某些链条需要PHPSESSID

五、通过500状态来判断链条存在可能

六、对某达oa的反序列化漏洞进行观察

七、我们如何预防呢?

参考资料

序言

近期网上流传的某达OA存在PHP反序列化漏洞,导致命令执行。因为该漏洞底层是Yii2框架的漏洞,所以搭建好了Yii2框架环境,在Yii2框架的环境下来进行模拟研究,希望能达到举一反三和类比分析学习的目的。该cookie处反序列化漏洞属于通用型漏洞,如果使用了Yii2框架进行应用开发,若泄露了config/web.php中的cookieValidationKey值、且符合特定Yii2漏洞版本以及PHP版本小于7,那么可能存在此反序列化漏洞,从而导致恶意代码执行。笔者能力有限,如有理解不当之处,希望大师傅们批评指正!

一、反序列化的入口与条件

1.hash验证数据

我们在cookie处提交的参数,被送到了这个validateData方法处,在这里$data的内容会被拆分。在期间其经历了一次hash值校验。我们只要用它提供的加密算法和密钥进行加密,生成数据,就能通过所有的校验,然后进入我们期望的`return $pureData;`环节。源代码如下:

public function validateData($data, $key, $rawHash = false)
    {
        $test = @hash_hmac($this->macHash, '', '', $rawHash);
        if (!$test) {
            throw new InvalidConfigException('Failed to generate HMAC with hash algorithm: ' . $this->macHash);
        }
        $hashLength = StringHelper::byteLength($test);
        if (StringHelper::byteLength($data) >= $hashLength) {
            $hash = StringHelper::byteSubstr($data, 0, $hashLength);
            $pureData = StringHelper::byteSubstr($data, $hashLength, null);

            $calculatedHash = hash_hmac($this->macHash, $pureData, $key, $rawHash);

            if ($this->compareString($hash, $calculatedHash)) {
                return $pureData;
            }
        }

        return false;
    }

2.php版本限制

上面的validateData方法,返回结果后,就回到了loadCookies方法。这里存在一个反序列化入口,就是下图else分支的内容,我们上一方法得到的反序列化数据会进入我们的反序列化入口(注意,allowed_classes 被设置为 false,则在反序列化过程中不会创建对象,只会还原基本数据类型,例如字符串、整数、数组等)。所以我们可以发现,在Yii2框架默认的环境下要进行这个反序列化操作,对php的版本是有所限制的,如下图,可以发现我们的版本中PHP_VERSION_ID 要小于70000才能到达我们期望的反序列化入口。

源代码如下:

protected function loadCookies()
    {
        $cookies = [];
        if ($this->enableCookieValidation) {
            if ($this->cookieValidationKey == '') {
                throw new InvalidConfigException(get_class($this) . '::cookieValidationKey must be configured with a secret key.');
            }
            foreach ($_COOKIE as $name => $value) {
                if (!is_string($value)) {
                    continue;
                }
                $data = Yii::$app->getSecurity()->validateData($value, $this->cookieValidationKey);
                if ($data === false) {
                    continue;
                }
                if (defined('PHP_VERSION_ID') && PHP_VERSION_ID >= 70000) {
                    $data = @unserialize($data, ['allowed_classes' => false]);
                } else {
                    $data = @unserialize($data);
                }
                ......
            }
        } else {
            ......
        }

        return $cookies;
    }




下面我们先直接展示漏洞利用结果。我们可以从调用栈看到已经在进行我们的反序列化过程了。最终弹出计算机验证确实存在此漏洞。

run方法如下:

public function run()
{
    if ($this->checkAccess) {
        call_user_func($this->checkAccess, $this->id);
}

二、config/web.php中的cookieValidationKey值

入口我们观察到了,在validateData方法里我们对需要对自己的反序列数据要进行一次hash计算,然后将hash值拼接到我们url编码后的反序列化数据前,然后附在cookie中发送。这里计算hash就需要用到我们的cookieValidationKey值,我们需要在config/web.php中搜索cookieValidationKey值。

例如下图中的"demo2":

我们掌握了加密密钥与加密方法,也就可以编写自己想要用的反序列

最低0.47元/天 解锁文章
zkzq
关注
专栏目录
yii2框架 反序列化漏洞复现
Zero_Adam的博客
06-19 1348
前言 跟着feng师傅再学习一下yii2反序列化漏洞,提高代码审计能力 漏洞出现在yii2.0.38之前的版本中,在2.0.38进行了修复,CVE编号是CVE-2020-15148: Yii 2 (yiisoft/yii2) before version 2.0.38 is vulnerable to remote code execution if the application calls unserialize() on arbitrary user input. This is fixed in
【新】通达OA前台反序列化漏洞分析
最新发布
C20220511的博客
08-07 2184
通达OA作为历史上出现漏洞较多的OA,在经过多轮的迭代之后已经很少前台的RCE漏洞了。对应12系列未做过多测试,本文提到的所有漏洞在最新版的通达12.4中已修复,使用此漏洞造成的任何攻击影响均与本文作者无关。在上面的方法中会对传入的Cookie值进行签名校验,校验的方法是validateData,其中$this->cookieValidationKey是签名的key。继续跟踪loadCookies方法,在这个方法中会调用unserialize方法对传入的Cookie的值进行反序列化
YII2框架学习 安全篇(五) 文件上传漏洞
混血王子的博客
06-26 2821
最后一节,文件上传漏洞。最近几天搬家,偷了个懒几天没更了,今天继续。 先看看这篇http://www.h3c.com/cn/About_H3C/Company_Publication/IP_Lh/2014/05/Home/Catalog/201408/839582_30008_0.htm 对文件上传漏洞的攻击和防御有个大概的了解。 常见的简单防恶意文件上传的方法就是检验后缀名是否为正常文件的后
yii2框架开发之安全xss、csrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8117
常见的漏洞攻击:1、xss:是跨站脚本攻击    分3类:1、存储型2、反射型3、蠕虫型2、csrf:是跨站请求伪造攻击    分2类:1、get型2、post型3、sql注入4、文件上传xss攻击:xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站挂马等存储型xss下面我们来看下盗号代码(存储型xss):1、通过在浏览器f12 console中输入:2、docume...
Yii2框架 反序列化漏洞复现(CVE-2020-15148)
snowlyzz的博客
10-25 1790
yii2框架 反序列化漏洞复现
[代码审计]yii2 反序列化漏洞分析
Huamang的博客
11-16 3520
前言
Yii2 反序列化漏洞(CVE-2020-15148)复现
玄道的网安博客
12-16 9456
漏洞概述 Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize 时,攻击者可通过构造特定的恶意请求执行任意命令。 环境搭建 到github上下载yii2的2.0.37版本 https://github.com/yiisoft/yii2/releases/tag/2.0.37 然后修改/config/web.php文件17行cookieValidationKey,可以随便定义 ...
yii2反序列化漏洞总结
unexpectedthing的博客
03-29 4779
文章目录yii2框架 反序列化漏洞复现yii 框架搭建过程CVE-2020-15148复现链子2链子3链子4链子5链子6参考链接 yii2框架 反序列化漏洞复现 yii 框架 Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。 Yii
Yii2 框架跑脚本时内存泄漏问题分析
weixin_30690833的博客
05-24 268
现象 在跑 edu_ocr_img 表的归档时,每跑几万个数据,都会报一次内存耗尽 PHP Fatal error: Allowed memory sizeof 134217728 bytesexhausted (triedtoallocate135168 bytes) 跟踪代码发现,是在插入时以下代码造成的: EduOCRTaskBackup::getDb()->createCom...
Yii2反序列化漏洞复现
SimoSimoSimo的博客
07-12 1588
Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。Yii2 2.0.38 以前的版本中存在反序列化漏洞,CVE编号是CVE-2020-15148到github上下载yii2的2.0.37版本打开 /config/web.php给17行的cookieValidationKey添加一个值,随便什么都行不添加就
[CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148)
Landasika的博客
05-17 1395
目录 [CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148)一、什么是YiiYii 是什么YiiYii 最适合做什么?二、漏洞分析三、漏洞pocyii 2.0.37 以前yii 2.0.37 以后四、WEB_267 [CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148) 一、什么是Yii 参考官网 https://ww...
Yii2反序列化漏洞
LYJ20010728的博客
05-27 958
Yii2反序列化漏洞环境搭建反序列化链寻找BatchQueryResult (版本<2.0.38)RunProcessSwift_KeyCache_DiskKeyCache 环境搭建 yii下载链接,选择版本<=2.0.37进行下载 自己在github上下载的yii2需要修改config/web.php文件里cookieValidationKey的值,随便什么值都行 切换到刚刚下载的yii框架根目录,执行命令php yii serve -port=xxxx,网站就运行起来了 反序列化链寻
所有Yii2 版本 反序例化漏洞修复
笨鸟的博客
11-24 786
什么是反序列化漏洞 也叫PHP对象注入,漏洞形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。这个漏洞并不是PHP特有,在Java、Python其他语言也存在,原理基本相通。 比较典型的PHP反序化漏洞可能会用到的魔术方法 1.void __wakeup(void) 2.void __construct ([ mixed $args [, $... ]]) ...
yii php framework 漏洞,yii框架异常处理导致的xss.md
weixin_39990410的博客
04-13 1099
最近XSS扫描器发现了一些奇怪的漏洞,对一些特征归类,查询,发现是属于yii 1.x框架Yii是一个免费的,开源的,基于PHP的Web应用程序开发框架虽然YII 已经发布了2.x,但1.x的使用量还是很大的复现下载yii 1.xgit clone https://github.com/yiisoft/yii运行自带的blog demo当请求头带有X-Requested-With: XMLHttp...
yii2反序列化代码审计cve漏洞复现
giaogiao123的博客
08-18 521
一环境 环境准备环境搭建 yii版本2.0.37和2.0.38 php版本 7.1 下载完打包,直接在 php yii serve 访问localhost:8080 二.分析漏洞 漏洞出发点 在\yii\vendor\yiisoft\yii2\db\BatchQueryResult.php文件中, 跟进reset 我们这里的_dataReader可控,然后$this->_dataREader->close(),触发__call方法(访问不存在的方法时触发)。 在\yii\vendor\f
yii2 反序列化漏洞复现与分析
meteox的博客
11-29 894
环境搭建 漏洞yii2.0.38之前的版本,下载2.0.37basic版本 https://github.com/yiisoft/yii2/releases/tag/2.0.37 修改/config/web文件的值 在当前目录输入php yii serve启动 复现 先构造反序列化的入口 新建一个controller <?php namespace app\controllers; class SerController extends \yii\web\Controller {
15-PHP代码审计——yii 2.0.37反序列化漏洞
网络安全
06-06 1231
Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架Yii2 2.0.38 之前的版本存在反序列化漏洞,如果程序内部调用了unserialize() 反序列化时,那么程序就可能存在反序列化漏洞,攻击者可通过构造特定的恶意请求执行任意命令。 影响版本: yii2 v2.0.37版本以下 环境: yii-basic-app-2.0.37.tgz php7.0以上 poc: http://www.yii2.com/web/index.php?r=test/sss&.
Yii2 反序列化漏洞利用写 shell 方式
然而,在 Yii2 中存在一个反序列化漏洞,可以被攻击者利用来执行恶意代码。在这个漏洞中,攻击者可以通过构造恶意的序列化数据,来执行系统命令,从而获取服务器的控制权。 Yii2反序列化漏洞是由于其对对象的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值