0x01 不是很顺利的Nday利用
在一次渗透测试过程中发现了目标使用了Symfony框架,然后扫了下目录,发现存在app_dev.php 文件,尝试访问
发现开启了debug模式,Symfony 版本号为2.8.34 php版本5.6.40 也能查看phpinfo页面
然后在网上搜了一下Symfony debug模式利用,看到了这篇文章https://www.ambionics.io/blog/symfony-secret-fragment
发现是可以利用 /_fragment 去尝试执行命令,但是需要知道一个key,文章里提到了在Symfony <= 3.4.43.中存在一个默认key:ThisTokenIsNotSoSecretChangeIt
然后根据文章生成_hash,发现还是返回403
当时就以为key被修改了,然后去看了看Symfony 对应版本的代码,发现还存在一个 /_configurator 接口可以利用,我们直接访问/_configurator/final 就可以直接看到配置文件的内容
结果发现key值没变,那看来应该是自己生成/_hash的地方有问题,再回去细看了一下文章,发现了下面一段话
估计是要修改成http
python3 -c “import base64, hmac, hashlib; print(base64.b64encode(hmac.HMAC(b’ThisTokenIsNotSoSecretChangeIt’, b’http://xxxxx/app_dev.php/_fragment’, hashlib.sha256).digest()))”
然后拿生成的_hash再去访问
发现返回404,说明_hash校验成功了,那就尝试执行system
发现并没有成功执行,然后以为是环境问题,就自己搭了个环境复现了一下
composer create-project symfony/framework-standard-edition /path 2.8.34
发现也报错了,但是也是执行到了system的,然后对比了一下两个报错
发现目标多了一个bundle,刚好也是这个报的错,那就本地安装一下再复现一下。
composer require a2lix/i18n-doctrine-bundle
在app/AppKernel.php 加入下面一行
new A2lix\I18nDoctrineBundle\A2lixI18nDoctrineBundle()
那么安装成功后,把请求重放一下。
发现报错,然后把
\vendor\a2lix\i18n-doctrine-bundle\A2lix\I18nDoctrineBundle\Doctrine\ORM\EventListener\ControllerListener.php
这两行注释就好了
好了,报错也一样了,然后就动态调试了一下
发现在23行,会获取到我们传入的system字符串,然后list了一下,再去获取controller,也就是在这里list后
o
b
j
e
c
t
的值是
s
,
object的值是s,
object的值是s,method的值是ystem,所以getclass(‘s’)报错了。这里的功能应该是获取controller的anontation,然后再做相关操作。
那这里就直接限制了我们只能传入存在的类,不能传入system等方法,然后就去找了一下看Symfony里面有没有什么能够利用的类。也去看了一下生成controller的步骤。
/vendor/symfony/symfony/src/Symfony/Component/HttpKernel/HttpKernel.php
最后会调用到/vendor/symfony/symfony/src/Symfony/Component/HttpKernel/Controller/ControllerResolver.php
发现只能生成无参构造函数的类。
所以目前存在2个限制条件
1.类存在无参构造函数
2.只能调用public的方法
然后经过一段时间寻找后,没有发现可以直接执行命令的类(也有可能是没找到)
就转变了一下思路,找能够写文件的地方
/vendor/symfony/symfony/src/Symfony/Component/Filesystem/Filesystem.php
可以写文件,那就尝试下写shell
好吧 没权限,那就继续转变思路,我写到/tmp目录,然后文件包含
没有返回写入失败,那估计写进去了,然后文件包含
没有包含成功,判断下文件有没有写进去
文件并没有存在,不知道什么原因导致没有写成功
那就只有试下反序列化了,使用Symfony\Component\Yaml\Inline::parse做反序列化操作,然后打开了phpggc找一下链(几年前的过程,只有几个链)
发现并没有Symfony 2.8.34的利用链,那就尝试自己挖掘利用链
0x02 挖掘反序列化链
/vendor/monolog/monolog/src/Monolog/Handler/AbstractHandler.php
在__destruct 中执行了该类的close方法,但是在该类中的close为空,那么去找它的子类,然后发现了BufferHandler类
AbstractHandler.php
这个类的几个关键
1.用了call_user_func,并且
t
h
i
s
−
>
p
r
o
c
e
s
s
o
r
s
我们可控,
this->processors我们可控,
this−>processors我们可控,record 也是 $this->buffer的值
2.调用了父类的handleBatch方法(见5),然后循环调用了handle
3.BufferHandler 类将父类的__destruct给重写了,所以不能用这个类来做入口
4.close方法调用了flush方法
所以现在梳理一下整个链的调用流程
1.AbstractHandler::__destruct->
2.BufferHandler::close->
3.BufferHandler::flush->
4.AbstractHandler::handleBatch-> BufferHandler::handle->call_user_func
在这个流程中1-3并不能实现,因为BufferHandler重写了__destruct 并不能执行到BufferHandler::close 方法
为了解决这个问题,就去寻找了另一个子类,这里采用的是RollbarHandler
这里执行了$this->rollbarNotifuer的flush方法,那么就可以用来做中间类去执行到BufferHandler::flush方法,那么整个流程就通了,剩下就是类里面每个值的问题
最后 成功执行命令
![[SAP ABAP] 静态断点的使用](https://i-blog.csdnimg.cn/direct/3782007229b9480282626b742452e9e9.png)
![洛谷P1403 [AHOI2005] 约数研究](https://i-blog.csdnimg.cn/direct/85f8090cf021410b97b7f6feb4877e89.png)
