Laravel_5.4.0_8.6.12+_反序列化链_RCE1

对应 PHPGGC 中的 Laravel/RCE2

这是 Laravel 反序列化链系列的第一篇文章

0x00 漏洞环境

https://github.com/N0puple/php-unserialize-lib

进入对应的文件夹执行如下命令启动环境:

docker-compose up -d

访问 http://x.x.x.x/index.php/test ,看到 hello world 既搭建成功

测试代码


namespace App\Http\Controllers;

class TestController extends Controller
{
	public function index()
	{
		if(isset($_GET['a']))
		{
			unserialize(base64_decode($_GET['a']));
		}
		else
		{
			echo "hello world";
		}
	}
}

0x01 漏洞影响

5.4.0 <= x <= 8.6.12+

laravel9 不可用

0x02 漏洞分析

首先来找起点,一般就是 __destruct 或者 __wakeup ,这里使用 laravel 最常见的入口 src/Illuminate/Broadcasting/PendingBroadcast.php::__destruct()

Laravel_5.4.0_8.6.12+_反序列化链_RCE1_第1张图片

$this->events$this->event 可控,因此只需要找到某个类的 dispatch 方法,并且可以执行命令的地方就可以,这里找到 src/Illuminate/Events/Dispatcher.php::dispatch($event, $payload = [], $halt = false)

Laravel_5.4.0_8.6.12+_反序列化链_RCE1_第2张图片

此处传进来的 $payload 为空,因此值为默认的空数组,对我们后面也没有什么影响,主要看到对 $event 可能存在影响的方法,看到这里的 $this->parseEventAndPayload

protected function parseEventAndPayload($event, $payload)
{
    if (is_object($event)) {
        list($payload, $event) = [[$event], get_class($event)];
    }

    return [$event, array_wrap($payload)];
}

我们的$event 不为对象,因此将会直接返回, $event 不会被影响,这里直接来到 198 行的 $this->getListeners

Laravel_5.4.0_8.6.12+_反序列化链_RCE1_第3张图片

$this->listeners 可控,因此此处的 $listeners 也可控,不存在 $eventName 时直接返回 $listeners ,因此返回值是我们可控的,之后直接被遍历,然后执行 $listeners($event, $payload)

$listeners$event 可控,$payload 为空,因此可以执行命令

0x03 漏洞复现

通过 exp.php 生成 payload ,然后直接打

Laravel_5.4.0_8.6.12+_反序列化链_RCE1_第4张图片

0x04 链接

环境与 exp 都可以在如下链接获取

GitHub

https://github.com/N0puple/php-unserialize-lib

GitBook:

https://n0puple.gitbook.io/php-unserialize-lib/

你可能感兴趣的:(PHP反序列化链,Laravel,漏洞分析,laravel,php,开发语言,漏洞复现,任意代码执行)