Typo3 CVE-2019-12747 反序列化漏洞分析

最新推荐文章于 2024-10-06 14:08:22 发布
最新推荐文章于 2024-10-06 14:08:22 发布
阅读量324 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/98385878
版权
本文详细分析了Typo3 CMS的CVE-2019-12747反序列化漏洞,该漏洞允许后台用户执行任意PHP代码。受影响版本为8.x-8.7.26和9.x-9.5.7。漏洞利用涉及两个组件:Backend和Core API。文章深入探讨了补丁分析、Backend和Core ext的漏洞点利用过程,强调了TCA在漏洞利用中的作用。漏洞利用的关键步骤包括变量覆盖和构造特殊字符串以实现代码执行。
摘要由CSDN通过智能技术生成

 

作者:mengchen@知道创宇404实验室

1. 前言

TYPO3是一个以PHP编写、采用GNU通用公共许可证的自由、开源的内容管理系统。PHP大马

2019年7月16日,RIPS的研究团队公开了Typo3 CMS的一个关键漏洞详情[1],CVE编号为CVE-2019-12747,它允许后台用户执行任意PHP代码。

漏洞影响范围:Typo3 8.x-8.7.26 9.x-9.5.7。

 

2. 测试环境简述

Nginx/1.15.8PHP 7.3.1 + xdebug 2.7.2MySQL 5.7.27Typo3 9.5.7

 

3. TCA

在进行分析之前,我们需要了解下Typo3的TCA(Table Configuration Array),在Typo3的代码中,它表示为$GLOBALS[‘TCA’]。

在Typo3中,TCA算是对于数据库表的定义的扩展,定义了哪些表可以在Typo3的后端可以被编辑,主要的功能有

  • 表示表与表之间的关系
  • 定义后端显示的字段和布局
  • 验证字段的方式

这次漏洞的两个利用点分别出在了CoreEngine和FormEngine这两大结构中,而TCA就是这两者之间的桥梁,告诉两个核心结构该如何表现表、字段和关系。

TCA的第一层是表名:天天好彩

$GLOBALS['TCA']['pages'] = [
    ...];
$GLOBALS['TCA']['tt_content'] = [
    ...];

其中pages和tt_content就是数据库中的表。

接下来一层就是一个数组,它定义了如何处理表,

$GLOBALS['TCA']['pages'] = [
    'ctrl' => [ // 通常包含表的属性
        ....    ],
    'interface' => [ // 后端接口属性等
        ....    ],
    'columns' => [
        ....    ],
    'types' => [
        ....    ],
    'palettes' => [
        ....    ],
];

在这次分析过程中,只需要了解这么多,更多详细的资料可以查询官方手册[2]。

 

4. 漏洞分析

整个漏洞的利用流程并不是特别复杂,主要需要两个步骤,第一步变量覆盖后导致反序列化的输入可控,第二步构造特殊的反序列化字符串来写shell。第二步这个就是老套路了,找个在魔术方法中能写文件的类就行。这个漏洞好玩的地方在于变量覆盖这一步,而且进入两个组件漏洞点的传入方式也有着些许不同,接下来让我们看一看这个漏洞吧。

4.1 补丁分析

从Typo3官方的通告[3]中我们可以知道漏洞影响了两个组件——Backend & Core API (ext:backend, ext:core),在GitHub上我们可以找到修复记录[4]

很明显,补丁分别禁用了backend的DatabaseLanguageRows.php和core中的DataHandler.php中的的反序列化操作。

4.2 Backend ext 漏洞点利用过程分析

根据补丁的位置,看下Backend组件中的漏洞点。

路径:typo3/sysext/backend/Classes/Form/FormDataProvider/DatabaseLanguageRows.php:37

public function addData(array $result){
if (!empty($result['processedTca']['ctrl']['languageField'])
        && !empty($result['processedTca']['ctrl']['transOrigPointerField'])
    ) {
        $languageField = $result['processedTca']['ctrl']['languageField'];
        $fieldWithUidOfDefaultRecord = $result['processedTca']['ctrl']['transOrigPointerField'];
if (isset($result['databaseRow'][$languageField]) && $result['databaseRow'][$languageField] > 0
            && isset($result['databaseRow'][$fieldWithUidOfDefaultRecord]) && $result['databaseRow'][$fieldWithUidOfDefaultRecord] > 0
        ) {// Default language record of localized record
            $defaultLanguageRow = $this->getRecordWorkspaceOverlay(
                $result['tableName'],
                (int)$result['databaseRow'][$fieldWithUidOfDefaultRecord]
            );
if (empty($defaultLanguageRow)) {
throw new DatabaseDefaultLanguageException('Default language record with id ' . (int)$result['databaseRow'][$fieldWithUidOfDefaultRecord]
                    . ' not found in table ' . $result['tableName'] . ' while editing record ' . $result['databaseRow']['uid'],1438249426
                );
            }
            $result['defaultLanguageRow'] = $defaultLanguageRow;
// Unserialize the "original diff source" if givenif (!empty($result['processedTca']['ctrl']['transOrigDiffSourceField'])                && !empty($result['databaseRow'][$result['processedTca']['ctrl']['transOrigDiffSourceField']])            ) {                $defaultLanguageKey = $result['tableName'] . ':' . (int)$result['databaseRow']['uid'];                $result['defaultLanguageDiffRow'][$defaultLanguageKey] = unserialize($result['databaseRow'][$result['processedTca']['ctrl']['transOrigDiffSourceField']]);            }//省略代码        }//省略代码    }//省略代码}

很多类都继承了FormDataProviderInterface接口,因此静态分析寻找谁调用的DatabaseLanguageRows的addData方法根本不现实,但是根据文章中的演示视频,我们可以知道网站中修改page这个功能中进入了漏洞点。在addData方法加上断点,然后发出一个正常的修改page的请求。

当程序断在DatabaseLanguageRows的addData方法后,我们就可以得到调用链

最低0.47元/天 解锁文章
systemino
关注
TYPO3CMS-Reference-ViewHelper:自动生成的ViewHelper参考
04-04
**TYPO3 CMS 视图助手(ViewHelper)参考** TYPO3 CMS 是一个强大的开源内容管理系统,而视图助手(ViewHelper)是TYPO3 Fluid模板引擎中的核心组件。Fluid是一种基于PHP的模板语言,用于创建动态网页内容。视图...
Shiro反序列化漏洞【详细解析】
热门推荐
weixin_47536169的博客
09-01 1万+
Shiro是什么东西 Shiro 是 Java 的一个安全框架,执行身份验证、授权、密码、会话管理 shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 原理解释https://www.freebu...
Session反序列化漏洞解析
最新发布
2301_79629995的博客
10-06 1271
当某个用户第一次访问网站时,Session_start()函数会创建一个唯一的SessionID,并通过HTTP响应头,也就是返回包,将SessionID保存在客户端,也就是用户浏览器的Cookie中。以上两PHP文件在session的存储引擎上采用了不同的方式,因此在解析session文件中的数据时就产生了歧义,如对于php_serialize来说 ”|“仅仅只是一个字符,但对于php而言则是分割符,因此对session产生了不同的解析结果,我们通过如下脚本生成payload。s:3:"age";
Shiro反序列化漏洞
qq_40882763的博客
02-21 2940
Shiro反序列化漏洞 目录 Shiro反序列化漏洞 1.1 漏洞介绍 1.1.1 漏洞简介 1.1.2 影响版本 1.1.3 漏洞原理 1.1.4 漏洞特征 1.1.5 漏洞影响   1.2 环境配置 1.3 漏洞检测 ​​1.4 漏洞利用 1.5 防御措施 参考: 一、Shrio反序列化导致命令执行(Shiro-550 CVE-2016-4437) 1.1 漏洞介绍 1.1.1 漏洞简介   Apache Shiro是一款开源企业常见JAVA安全框架,提供...
漏洞复现】Shiro 反序列化漏洞
2301_80115097的博客
11-08 2278
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。该款工具特别适合初学者,配置了各种OA漏洞利用板块,还有shiro、struts2等框架漏洞漏洞利用板块,还有一键执行命令的功能!!
ipandlanguageredirect:TYPO3 重定向 - 基于浏览器语言和 IP 地址
05-31
TYPO3 扩展 ipandlanguageredirect TYPO3 FE 访客自动或手动重定向到另一种语言或另一种根页面。 介绍 此扩展允许多语言和多域处理,并根据访问者浏览器语言和区域(IP 地址)重定向到具有最佳语言的最佳页面。 ...
threeme:Threeme-免费TYPO3分发-完整文档(德语)@
05-13
Threeme是免费的,我们对TYPO3社区的贡献。 该发行版不应该与其他模板概念和扩展程序(例如“主题”或“ Bootstrap程序包”)竞争,它采用的是完全不同的哲学: Threeme的目标读者是已经了解TYPO3的经验丰富的前端...
typo3-rector:TYPO3的Rector
02-19
该项目添加了专用于TYPO3的整流器,以帮助您在TYPO3版本之间进行迁移或使代码不受弃用。 目录 还请查看本身的文档。 支持 请在#ext-typo3-rector频道中向TYPO3 Slack( )发表问题。 或随时在github上打开问题或...
TYPO3-version-chart:使用jQuery UI和jQuery Isotope的TYPO3版本可视化
05-05
在“TYPO3-version-chart: 使用jQuery UI和jQuery Isotope的TYPO3版本可视化”项目中,开发者旨在通过图形化方式展示TYPO3的不同版本信息,使用户能够更直观地理解和追踪系统的发展历程。 首先,项目的名称“TYPO3-...
shiro反序列化漏洞
wutiangui的博客
09-07 2459
序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,保证对象的完整性和可传递性;反序列化即逆过程,由字节流还原成对象。根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。漏洞影响版本。
shiro-反序列化漏洞
weixin_54217950的博客
07-26 6559
shiro反序列化漏洞
漏洞分析 | 经典的Shiro反序列化
2301_80115097的博客
03-26 1907
其实这个还是得学习学习加密解密的方法,才能进行编写poc,但是此处只是了解个思路。具体可参考其他文章;声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等应急响应笔记学习路线。
Typo3及Nette漏洞合集
小小猪的博客
08-19 375
Typo3 漏洞 Typo3 反序例化漏洞 在表单中提交任意符合数组格式的输入,在后端代码中都会被解析,然后后端根据TCA来进行判断并处理。比如我们在提交表单中新增一个名为a[b][c][d],值为233的表单项。 发送请求后,依旧能够进入fillInFieldArray,而在传入的$incomingFieldArray参数中,可以看到我们添加的三个键值对 进入fillInFieldArray之后,其中l10n_diffsource将会进行反序列化操作。此时我们在请求中将其...
【网络安全---漏洞复现】shiro721反序列化漏洞CVE-2019-12422)原理与漏洞复现和利用(保姆级的详细教程)
m0_67844671的博客
09-25 3711
shiro721反序列化漏洞CVE-2019-12422)原理与漏洞复现和利用(保姆级的详细教程);详细还原了漏洞漏洞利用方式;Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
Shiro的Java原生反序列化漏洞
公众号shadow sock7
07-28 1万+
参考: http://www.lmxspace.com/2019/10/17/Shiro-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E8%AE%B0%E5%BD%95/ https://github.com/jas502n/Shiro_Xray 环境搭建 git clone https://github.com/apache/shiro.git # wget https://codeload.github.com/apache/shiro/zip/shiro-root-1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值