php yii2模块,Yii2框架Gii模块 RCE 分析

最新推荐文章于 2021-09-23 16:37:53 发布
最新推荐文章于 2021-09-23 16:37:53 发布
阅读量256 收藏
点赞数
文章标签: php yii2模块

原标题:Yii2框架Gii模块 RCE 分析

f99ef5380c191bb9440b668062971a88.png

利用周末时间分析了Yii2框架的一个RCE漏洞,利用了框架可以写PHP模板的功能,控制写入的内容为恶意代码,实现对指定的文件写入php 命令执行语句,调用PHP从而获取系统权限。

0x01 Yii 介绍

Yii 是一个高性能,基于组件的 PHP 框架,用于快速开发现代 Web 应用程序。一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。和其他 PHP 框架类似,Yii 实现了 MVC(Model-View-Controller) 设计模式并基于该模式组织代码,Yii 非常易于扩展,代码简洁优雅。

0x02 环境搭建

利用docker 原生ubuntu镜像搭建漏洞调试环境

0x01 composer 安装

Composer 是 PHP 的一个依赖管理工具。它允许你申明项目所依赖的代码库,它会在你的项目中为你安装他们。

你可以将此文件放在任何地方。如果你把它放在系统的 PATH 目录中,你就能在全局访问它。在类Unix系统中,你甚至可以在使用时不加 php 前缀。

你可以执行这些命令让 composer 在你的系统中进行全局调用:

curl-sS https://getcomposer.org/installer | php

mv composer.phar /usr/local/bin/composer

0x02 yii2 安装

安装composer过后,需要安装git 以及php插件,composer在安装yii2框架时会从git上clone项目,只不过不保留.git文件夹。

apt installapache2 php

apt installzip unzip git php-mbstring php-curl php-dom -y

composer create- project--prefer-dist yiisoft/yii2-app-basic basic

25d830e5decb26273b2a2015620c19af.png

至此yii2框架就基本搭建完成了,有了composer 之后确实方便了很多。

0x03 数据库搭建及连接

利用docker搭建数据库,注意在数据库中创建新库和数据表

dockerrun --name mysql -e MYSQL_ROOT_PASSWORD= 123456-d mysql: 5. 7

vim / var/www/html/basic/config/db.php

56229363a4c82841514ef4a5bed71368.png

0x04 Xdebug 安装

pecl PHP Extension Community Library的缩写,即PHP 扩展库。https://pecl.php.net/

PECL是使用C语言开发的,通常用于补充一些用PHP难以完成的底层功能,往往需要重新编译或者在配置文件中设置后才能在用户自己的代码中使用。

利用pecl 安装xdebug 并进行配置

apt-get installphp-pear

apt- getinstallphp-phpize

pecl installxdebug

将xdebug.so与php相关联,xdebug.ini 配置如下

zend_extension=/usr/lib/php/20190902/xdebug.so

xdebug.remote_enable=1

xdebug.remote_connect_back=0

xdebug.remote_host=172.19.0.12

xdebug.remote_port=9000

向apache的php配置添加xdebug.ini配置文件,并重启服务

cp/usr/share/php/docs/xdebug/xdebug.ini /etc/php/7.4/apache2/conf.d/

serviceapache2 restart

02f0db04b45449a7cec04af1592c3712.png

0x05 远程调试配置

因为服务在服务器端,本地需要phpstorm调试需要配置端口转发,将本地端口转到服务器上去。又因为服务在服务器docker内部因此也需要把ssh端口转发出来。操作如下

在服务器执行

1ab24f7749a482a2892d5c3b3acc4657.png

在docker内执行

8253587ce6ebbcaed49b374126d4ab41.png

在本地执行

4533cbf9b67a6471fdf29256eed4b1b2.png

配置phpstorm,进行远程文件关联

ff1edf430361da136aa172f8e3008c45.png

配置sftp

2906326b63f8f321b3470d47c7089af1.png

0x06 添加白名单

gii 默认添加了白名单访问,这里只需加个*就可以了

566165c916c1050661178deaa4c121b5.png

0x03漏洞利用

0x1 生成恶意代码文件

所有环境都配置好后,选择创建的数据表并制定类名

bf917fe8f7146981d567f1142bcce323.png

在Message Category字段处填写恶意代码,如下图所示

4247702b53463206dd4f04d3b33ab8fb.png

0x2 触发恶意文件

98b51e2eafc464288c63a20cbf30ef44.png

0x03 漏洞原理及调试0x0 漏洞原理

yiisoft/yii2-gii/src/Generator.php#L505 存在参数拼接,而且没有检查用户传递的参数。

1e66572caa737fda5dcfc72f6b5daada.png

0x1 路由介绍

yii用了统一的路由分发,路由的工作可以分为两步:

从请求中解析出一个路由和相关参数;

根据路由生成响应的控制器操作,来处理该请求。1. 解析参数

Application.php:103, yiiwebApplication->handleRequest

98a02afdb5594603df8e135e3b9a9327.png

从url中获取route 和 参数

0b7b0adbc72cba3c9460c100f90a71cc.png

调用栈关系

Request.php:699, yiiwebRequest->getQueryParam

UrlManager.php:365, yiiwebUrlManager->parseRequest

Request.php:275, yiiwebRequest->resolve

Application.php:82, yiiwebApplication->handleRequest

Application.php:386, yiiwebApplication->run

index.php:12, {main}

0x2 生成控制器

7bf7c85319d15ebe9e7e1f30486350e4.png

Module.php:522, yiiwebApplication->runAction

ebb77addc941cd63724607face88cc4d.png

具体实现将url get参数分割成id和route,匹配是不是已配置 module

25c32b736556db3647ae479deb39342c.png

如果不是已有module那么将会根据id生成controller

a6c730ea14c2b3f3ec23fe79fd2a9032.png

4720c42da627052f75b52dbee70b0998.png

完整调用栈如下

Module.php:643, yiiwebApplication->createControllerByID

Module.php:596, yiiwebApplication->createController

Module.php:522, yiiwebApplication->runAction

Application.php:103, yiiwebApplication->handleRequest

Application.php:386, yiiwebApplication->run

index.php:12, {main}

最后在runwithParams函数中完成类函数调用

7565c1d9336e6c41c15c7df501bba83d.png

0x3 可控参数传递链

在生成恶意代码的时候,是将我们传入的post参数写了进去。这个过程还是比较复杂的,调试跟了下归结为几个步骤。

actionPreview功能将收到的post参数解析带入到$generator对象中

actionPreview将解析好的对象成员保存为json格式在runtime目录下

actionView读取json格式数据并解析成对象成员变量

调用到renderFile生成php code并将其写入文件中

1. actionPreview post参数解析

在DefaultController类中

7d5ba42bf7a3722c740073e0c0925040.png

855064821ab1a16fee735ef2a38c0a95.png

2. actionPreview 保存为json

该操作将post包中的参数保存为json格式,并存储到文件中

8c4b89eb39821e7e1af43bf94ea1c9e7.png

3. actionView 读取json文件

从json文件中解析类成员变量

be97e6ef269a3fcf7d5ca488d471eb01.png

4. 文件生成

漏洞生成的文件如下

d88ba6a081b79b8e90d00d901451dcff.png

026a1d42a9ac404c512e693d6283cf89.png

0x04 补丁分析

简单的加了个过滤

bcf17e63fd6b46a3a9a1f1f2f054026f.png

参考链接请点击文末“阅读原文”查看~返回搜狐,查看更多

责任编辑:

cat12315
关注
Yii 框架反序列化 RCE 利用链 2(官方无补丁)1
08-03
最终利用链:实例化 \ yii\rest\IndexAction 类,设置其 $checkAccess 变量、$id 变量和 $config变量实例化 \ sy
从零开始学YII2框架(五)快速生成代码工具 Gii 的使用
12-18
Yii2 框架 之所以称之为高效快速开发的一款框架,是因为有一个神奇的工具Gii 用过Yii1框架的Coder都知道,Gii可以为你快速生成代码,也就是说搭建一个可以增删改查的WebApp可能一行代码都不用写。 当然作为Coder,不写代码怎么能实现我们想要的功能呢。 上次介绍了如何安装Yii框架,本次介绍一下如何使用gii工具快速实现CRUD功能。 框架安装完成后可以通过如下链接访问Gii工具 http://localhost/yii2test/backend/web/index.php?r=gii Yii2Gii工具使用了Bootstrap,对比Yii1看起来漂亮了许多。
PHP学习】Yii2框架Gii模块使用
hwy499的博客
08-10 707
PHP学习】Yii2框架Gii模块使用 开启Gii模块 Yii2中使用一个模块通常需要到config文件夹下的web.php下去配置,如下图我们就可以看到Gii模块的使用只有在YII_ENV_DEV这个变量为Ture时才会被启用。 Gii模块类的路径为yii\gii\Module。 那么我们在什么地方可以开启这个Gii模块呢?答案:应用的入口文件web\index.php,在index.php中我们可以看见如下代码: defined('YII_ENV') or define('YII_ENV', '
php yii2模块,YII2 modules 模块
weixin_33117513的博客
03-10 181
YII2模块化就是将功能做成独立模块,可以方便伸缩和移植。这样以后其他yii2目录需要用到该模块就是复制出来,再配置下main就可以用了。类似这样的目录,modules就是yii2模块化目录,里面就写各独立模块。每个独立模块都可有对应的controllers,models,views,而然子模块必须在父模块的yii\base\Module::modules属性中申明,例如:namespace...
php5.5 反序列化利用工具_Yii框架反序列化RCE利用链2
weixin_39705931的博客
11-24 636
Yii框架反序列化RCE利用链2(官方无补丁)Author:AdminTony1.寻找反序列化点全局搜索__wakeup函数,如下:找到\symfony\string\UnicodeString类,其__wakeup方法中调用了normalizer_is_normalized方法。该方法要求传入的内容是字符串。且$this->string可控,那么只要找到一条由__toString...
Yii2框架Gii模块 RCE 分析 .pdf
09-05
在“Yii2框架Gii模块 RCE 分析”中提到的漏洞,涉及到远程代码执行(RCE),这是由于框架允许编写PHP模板并在其中插入自定义内容。攻击者可以利用这个功能,通过控制写入的内容,植入恶意代码,实现对指定文件的PHP...
YII2框架中添加自定义模块的方法实例分析
10-15
本文将深入分析YII2框架中添加自定义模块的方法和步骤,同时结合实例阐述原理,并指出操作过程中的注意事项。 YII2框架支持无限嵌套模块的创建,但出于性能和管理的考虑,一般不建议超过两层嵌套。首先,我们应当...
yii2-gii:此2 Gii扩展
04-29
php composer.phar require --dev --prefer-dist yiisoft/yii2-gii 或添加 "yiisoft/yii2-gii": "~2.1.0" 到composer.json文件的require-dev部分。 用法 安装扩展程序后,只需按以下步骤修改您的应用程序配置: ...
yii2-enhanced-gii:增强的Yii2 Gii(生成器),生成相关的模型和CRUD
05-02
yii2-enhanced-gii Yii2 Gii(发电机)与关系 支持 在LinkedIn上支持我 安装 安装此扩展的首选方法是通过 。 无论运行 $ composer require mootensai/yii2-enhanced-gii:dev-master $ composer require kartik-v/...
yii2-dockerized:基于Docker的Yii 2应用程序的模板
05-09
Yii 2 Dockerized 基于docker的Yii 2应用程序的模板。 临时容器,通过环境变量配置 特定于应用程序的基本映像(Nginx + PHP-FPM) 用于开发/调试的可选本地配置替代(忽略git) 用于登录,注册和忘记密码操作的基本脚手架代码 平面配置文件结构 可选的cron集成用于定期作业 注意:包含的示例基础映像现在基于Alpine Linux,并使用来监督Nginx + PHP-FPM。 当然,您可以将其更改为您喜欢的任何设置。 您可以在“ apache”分支中找到基于Apache和mod_php的“旧”设置。 但是请注意,它不再维护。 1主要概念 1.1基本映像 该模板的核心思想是为应用程序构建一个定制的基本映像,该映像可以满足项目的确切要求。 该图像包含: PHP运行时环境(例如Nginx + PHP-FPM) PHP扩展 作曲家包 基本映像几乎不会
yii2 反序列化写shell方式利用1
08-03
yii2 反序列化写 shell 式利 - 原创章发潜习安全遇到个 yii 的源码刚好有漏洞,搜了圈的 rce 都是调 call_user_func 直接sys
php如何配置gii,从零开始学YII2框架(五)快速生成代码工具 Gii 的使用
weixin_35273106的博客
03-13 249
Yii2 框架 之所以称之为高效快速开发的一款框架,是因为有一个神奇的工具Gii用过Yii1框架的Coder都知道,Gii可以为你快速生成代码,也就是说搭建一个可以增删改查的WebApp可能一行代码都不用写。当然作为Coder,不写代码怎么能实现我们想要的功能呢。上次介绍了如何安装Yii框架,本次介绍一下如何使用gii工具快速实现CRUD功能。框架安装完成后可以通过如下链接访问Gii工具http:...
利用docker搭建yii2 详细步骤
weixin_33682790的博客
03-28 411
定位镜像 在hub.docker.com 搜索yii2,并且最后定位到 https://hub.docker.com/r/codemix/yii2-base/codemix/yii2-base 然后在github上打开 clone 到本地 启动容器 按照下面步骤操作 composer create-project --no-install...
yii2 实现默认路由与美化路都能访问
Mr Qiang
11-28 642
默认路由 yii2 框架默认路由形式如下:index.php?r=site/index,这样的路由形式不太美观,因此我们通常使用美化路由,很方便的是,yii2 也很提供路由美化功能。 路由美化 在 yii2 中,关于路由美化的配置项默认是注释掉的,如果我们想启动路由美化,只需要打开注释即可。 'urlManager' => [ 'enablePrettyUrl' => true...
Yii2在部署新机器时需要注意的环境问题
weixin_30668887的博客
02-05 100
  最近再部署Yii2项目时,遇到一些问题,主要是环境问题   1.有些目录没有写入权限     因为php-fpm在执行时所属的用户时nobody,所以最好是把assets,runtime,web目录分给nobody用户 sudo chown -R nobody assets sudo chown -R nobody web sudo chown -R nobody runtim...
Yii2 反序列化漏洞复现
qq_44657899的博客
09-23 1000
文章目录漏洞详情环境搭建漏洞复现 漏洞详情 漏洞版本小于yii2.0.38 环境搭建 下载yii2.0.37版本,https://github.com/yiisoft/yii2/releases/tag/2.0.37, 放在phpstudy的www目录下。 这是一个反序列化利用链,所以还需要一个反序列化的入口点,在controllers目录下创建一个TestController.php <?php namespace app\controllers; use Yii; use yii\web\Cont
深入谈谈apply和call
小破船借箭的博客
09-15 1071
深入谈谈apply和call。 这篇文章是本小猿生写的第一篇文章,不喜勿喷,还望大佬批评指教,共同进步,好了废话不多说,下面开始胡扯。 apply和call方法的相同点 apply()和call()方法的作用都是改变this 的指向,也是他们的相同点。 apply和call方法的不同点 apply() 和 call() 方法的区别在于 接收参数的方式不同 apply() 方法,两个参数, 第一个参数是this修改后的指向。 第二个参数是一个数组。 call() 方法, 第一个参数是this修改后的
yii漏洞-2.0.41链子复现
giaogiao123的博客
08-25 468
一环境配置 1.环境 yii-2.0.41版本 2. vscode+xdebug手动调试 3. php环境7.1 下载源码修改/config/web.php文件17行cookieValidationKey,随便设一个数目,然后,解压,到那个目录下php yii serve 启动(需要配置php环境变量) 访问 http//:localhost:8080 自己写一个反序列化入口 在controllers目录下创建一个TestController: <?php namespace app\contr
15-PHP代码审计——yii 2.0.37反序列化漏洞
网络安全
06-06 1223
Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架Yii2 2.0.38 之前的版本存在反序列化漏洞,如果程序内部调用了unserialize() 反序列化时,那么程序就可能存在反序列化漏洞,攻击者可通过构造特定的恶意请求执行任意命令。 影响版本: yii2 v2.0.37版本以下 环境: yii-basic-app-2.0.37.tgz php7.0以上 poc: http://www.yii2.com/web/index.php?r=test/sss&.
Yii2框架RBAC权限控制详解:模块、控制器与方法
YII2框架中,Role-Based Access Control(RBAC)是一种强大的权限管理系统,它允许开发者定义用户的角色、权限以及这些角色和权限之间的关系,从而实现对系统资源的精细控制。RBAC可以帮助我们管理不同用户对不同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值