搜索 一道CTF题引起的对laravel v8.32.1序列化利用链挖掘

最新推荐文章于 2023-08-10 10:30:00 发布
最新推荐文章于 2023-08-10 10:30:00 发布
阅读量361 收藏 4
点赞数 5
分类专栏: 安全漏洞 文章标签: 网络安全 安全漏洞 渗透测试 程序人生 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jklbnm12/article/details/118758862
版权
本文详细介绍了在laravel v8.32.1版本中,如何挖掘和利用序列化漏洞,包括call_user_func、call_user_func_array、eval等函数的利用条件和过程,涉及CTF比赛实战经验。
摘要由CSDN通过智能技术生成

目录

0x00 前言

0x01 利用条件

0x02 环境配置

0x03 链条分析

call_user_func([可控],[可控])

网络安全学习资料点击白嫖

call_user_func([可控],[可控],[可控])

call_user_func_array([完全可控])

eval([完全可控])

0x00 前言

前几天刚搞完 V&NCTF ,里边有一道 easy_laravel 题目引起了我的注意(指挖了一下午的序列化链,结果路由不正确无法利用CVE反序列化,呜呜呜,气死我耶),于是就将整个有趣(心酸)的过程写出来分享一下吧。

0x01 利用条件

  • 需要配合一个完全可控的反序列化点( 比如结合CVE,不过这里的版本是目前最新版 v8.32.1 )

0x02 环境配置

先配好 8.32.1 版本的 laravel ,确保当前版本正确。

然后在 public/index.php 手动新建一个可控的序列化点:

0x03 链条分析

由于这里是另挖掘,所以我们就尽可能的避免 easy_laravel 题目WP所给的链条吧。

call_user_func([可控],[可控])

先从最简单的单参数任意函数执行开始吧。

分析

首先,来到入口点,不妨找一个需要有 __destruct 方法的类,且该方法拥有形如 $this->[可控]->xxx() 的语句,这样就能够方便的触发 __call 方法了。比如说 ImportConfigurator 类就是一个不错的开始。

下一步即是找一个较为符合的拥有 __call 方法的类了,比如这里可以选择 ValidGenerator 类,因为这个类的 __call 存在两个较为明显的 call_user_func/call_user_func_array 函数。

现在需要做的即是想尽办法让这两个函数其中一个的参数 可控 就行了。可以先分析第一个 call_user_func_array 函数,其中 $name 是不可控的,且值为 addCollection ,虽说 $this->generator 和 $arguments 是可控的,但要直接通过这两个可控的参数进行 rce 基本是不可能的。

那么再看一下 DefaultGenerator 类的 __call 方法。显然当这个方法被调用时,无论传入是啥 方法 或是 参数 都可以得到一个 [可控] 的任意值。

这时不妨回过头来看 ValidGenerator 类的 __call 方法中第二个 call_user_func 函数。在这个函数中 $this->validator 是可控的了,然后 $res 实际上是来自第一个 call_user_func_array 的返回值。那么假设现在咱们用第一个 call_user_func_array 方法去调用 DefaultGenerator 类的 __call 方法,既可以返回一个 [可控] 的值,也就是说 $res 现在也是可控的了。

综上,咱们现在实际上就可以得到形如 call_user_func([可控],[可控]) 的形式了。

此时需要构造的内容大致如下:

  • ImportConfigurator->parent = ValidGenerator类
  • ValidGenerator->maxRetries = 1
  • ValidGenerator->generator = DefaultGenerator类
  • DefaultGenerator->default = [任意可控函数参数]
  • ValidGenerator->validator = [任意可控函数名称]

图示

然后是简单的调用图示:

exp

<?php

namespace Symfony\Component\Routing\Loader\Configurator{
  
    class ImportConfigurator{
  
        private $parent;
        function __construct($c1){
  
            $this->parent = $c1;
        }
    }
}
namespace Faker{
  
    class DefaultGenerator{
  
        protected $default;
        function __construct($param){
  
            $this->default = $param;
        }
    }
    class ValidGenerator{
  
        protected $generator;
        protected $validator;
        protected $maxRetries;
        function __construct($func,$param){
  
            $this->generator = new DefaultGenerator($param);
            $this->maxRetries = 1;
            $this->validator = $func;
        }
    }
}
namespace{
  
    echo base64_encode(serialize(
最低0.47元/天 解锁文章
网安溦寀
关注
专栏目录
[MRCTF2021]Web复现ez_larave1
Huamang的博客
04-20 942
ez_larave1 考察的是Laravel的CVE-2019-9081,影响版本为5.7.x get到一个新工具:BeyondCompare,用来比较文件差异的,可以比较方便的看出他做了哪些开发 把5.7.x的源码下载下来,比较一下,发现序列化! 有个小绕过,在serialize后随便加一点东西就可以了,比如serializeabc 与网上的poc不同,他的路由命名为hello了,在hello路由下可以执行反序列化 在网上找到的cve复现,看到漏洞是在PendingCommand.php出现的,跑去看
通过几道CTF学习Laravel框架
蚁景网安学院
06-09 900
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
[MRCTF2021]ez_laravel复现
fightte的博客
05-21 610
前言 还是之前打的mrctf,难度比较大,也是第一次正式比赛出现了lara目,近来多数比赛,包括CISCN都习惯出lara的目,算是比较好的框架,但当时被带的做起了,现在复现一次: 考察的是Laravel的CVE-2019-9081,影响版本为5.7.x,当时别个搜CVE也能搜出来,先下载下来,lara5.7 但lara5.7里面没有vendor,在文件夹下,用cmd命令 composer install就可产生: 开始对比: 主要差别确实就是MRCTF的www_laravel,其app/Http/
攻防世界 WEB easy_laravel
qq_41696858的博客
02-06 3562
我一开始是在攻防世界做的,但是不知道今天靶场又抽什么风了。。。。反正两个靶场配置有点不一样,但是出入不是很大,BUUCTF需要提前手动利用管理员邮箱reset_password一下,攻防世界不需要 打开场景,审计页面源码,发现源码地址直接给出来了,非常的简单粗暴啊 https://github.com/qazxcv123/easy_laravel 建议把源码下下来,自己搭个环境慢慢看,不然不方便。那就看源码呗,先看路由,mvc的入口点 哦对了先说一下,larvel是一个PHP的web框架 在一个个尝试路
CTF信息安全比赛单项选择.docx
01-25
CTF信息安全比赛单项选择.
CTF-Tools-v1.3.7.zip
最新发布
01-29
CTF常用工具集
[随波逐流]CTF编码工具 V1.0.20201101.rar
11-03
各种编码解码离线工具集成:包括base64,base32,base16,base85(a),base85(b),base58,base36,base91,base92,培根bacon,摩斯,键盘,猪圈,Rot13,Quoted,Atbash,JSFuck,JJEncode,BrainFuck,URL,...
CTF.zip(内有解思路)
05-09
共选入了 17道 试,适合动手练习(内有解思路)
CVE-2021-3129:Laravel <= v8.4.2调试模式
05-10
CVE-2021-3129 Laravel <= v8.4.2调试模式:远程执行代码(CVE-2021-3129) 修改了@crisprss师傅的增加了更多可用的小工具用作遍历 用: python3 exp.py http://127.0.0.1:8888 效果: zhzy@debian:/opt/tools/vuln/laravel/CVE-2021-3129/phpggc$ python3 exp.py http://127.0.0.1:8888 [*] Try to use Laravel/RCE1 for exploitation. [+]exploit: [*] Laravel/RCE1 Result: [*] Try to use Laravel/RCE2 for exploitation. [+]exploit: [*] Laravel/RCE2 Result: [*
[VNCTF 2021]Easy_laravel-PHP代码审计&CVE-2021-3129学习记录
cjdgg的博客
04-05 1652
[VNCTF 2021]Easy_laravel-PHP代码审计学习记录 上次做完那道代码审计后,好巧不巧,又有新的php代码审计,也是Laravel,话不多说,进入正一进入就是这个页面,看到这个页面就想起了之前拿CVE打过的一个靶机,于是看了下版本号找找有没有CVE可以打 谷歌搜了下laravel 8.22.1 exploit,很绝望,这个版本几乎都是CVE的修复版本,没有可用的CVE,这还提供了源代码,那就只能慢慢看了 又是熟悉的N多个文件夹,依旧是先全局搜索_destruct找可以用
护网杯2018 easylaravel
weixin_43610673的博客
08-04 1648
easylaravel robots.txt没啥东西 注释给了源码地址,下下来审计 /routes/web.php 查看路由 包里有composer.json 先composer install安装一下相关的包依赖(需要先安装composer) 安装完后项目根目录会有vendor文件夹 composer.lock文件。(因为网络问一直没安装完。。。也就没composer.lock文件,后来换了阿里云的源才搞定,菜鸟教程那写着的国内源一直不行,不知道咋回事),安装完后才能得到完整源码,毕竟是用的lar
再谈Laravel Debug mode RCE(CVE-2021-3129)漏洞
wangluoanquan111的博客
08-10 3212
Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
Laravel序列化实现RCE
p4nic的博客
08-28 685
Laravel序列化实现RCE,版本5.1和7.30
CTF Docker环境目大全
NAUYX转
03-26 832
CTF Training 经典赛复现环境 I need your help!!! 环境说明 Explain docker-ce version 18.09+ docker-compose version 1.23+ Installation # Install pip curl -s https://bootstrap.pypa.io/get-pip.py | python3 # Install the latest version docker curl -s https://get.d
[WP]2021羊城杯-Web部分
Y4tacker的博客
09-14 1936
文章目录写在前面WebCross The SideCheckin_GoOnly 4 (非预期解法)Only 4 (预期解法)NO SQLEasyCurl 写在前面 这次拿了第一还是比较开心的,一晚上没睡觉… Web Cross The Side 版本信息Laravel v8.26.1 (PHP v7.4.15) 目录扫描 应该是开启了redis 联系版本号,尝试debug-rce 既然有file_get_contents与file_put_contents,尝试ftp passivemode 成功出
laravel 实战随笔
Hustcw Blog
01-30 441
laravel 实战踩坑——随笔 1. 表单提交必填method,action,{{csrf_field()}} 2. index.php无法打开文件的话,进项目composer install 3. 数据库默认字段不为空,报错的时候应该看一看 4. 所有前端引用前面要加/表示绝对路径引用,不然无法渲染 5. 如果路由和控制器都没写错,还报错方法不存在,可以尝试: composer
bugkuCTF——社工篇
热门推荐
灬彬的博客
07-31 1万+
1、密码                                                        分析:这个是典型的弱口令,猜了一下,KEY是姓名+生日, KEY{zs19970315}   2、信息查找                                           分析:直接百度bugku群号码,    得出 KEY{462713425...
D3CTF2022: Java序列化漏洞利用与rome优化
文章作者参考了XZ阿里云安全社区的文章,对该类Payload的优化方法进行了深入研究,尤其是针对"rome"进行的简化,这涉及到对空参构造的调整以及减少序列化数据的大小,以适应有限的输入限制。 在实际操作中,参赛...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安溦寀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值