forward

laravel的版本已经到了8；这里分析一个laravel8的反序列化漏洞，但是让我感到意外的是，这个漏洞竟然在低版本的laravel上依然可以存在，从根本来说这个漏洞是laravel的mockery组件漏洞，没想到一直没修；

本文涉及知识点实操练习：Fastjson反序列化漏洞（Fastjson是阿里巴巴公司开源的一款json解析器，在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。）

text

首先还是老样子，熟悉laravel的pop链的师傅肯定比较熟悉，入口点还是PendingBroadcast.php中的析构函数；

这里很明显可以控制任意类下的dispatch函数；这里还是选择Dispatcher.php进行续链；

这里简单的看下源码，感兴趣的师傅可以拿着laravel5的源码来进行对比，这里只不过是写成了三元运算的形式，本质上还是一样的，我们控制queueResolver变量和commandShouldBeQueued函数，使其返回为真，这样就可进入dispatchToQueue函数；这里审计下类不难发现queueResolver是我们可控的变量，然而commandShouldBeQueued函数我们可以追溯一下；

这里不难发现，是需要我们的command是继承ShouldQueue接口的类就可；所以全局搜索；选择BroadcastEvent.php的类；然后便可返回true，然后进入dispatchToQueue函数；回溯一下dispatchToQueue函数；

可以发现这里有个危险函数call_user_func；可以直接实现任意类下的任意 *** ；这里就可直接跳转到我们想要执行的 *** 下；全局搜索一下eval *** ；发现存在；

call_user_func函数在之一个参数为数组的时候，之一个参数就是我们选择的类，第二个参数是类下的 *** ；所以这里直接去到EvalLoader类，去执行load *** 从而调用到eval函数；这里发现存在参数，而且参数必须是MockDefinition类的实例；也即是意味着我们connection需要为MockDefinition类的实例；

继续审计发现，必须if为false才会触发eval *** ；所以这里我们需要直接追溯到MockDefinition类中；

看下getClassName函数；这里的config是可控的，所以我们直接找到一个存在getName *** 并且可控该 *** 的类；全局搜索下找到MockConfiguration.php可以实现；

因为最后是要经过class_exit函数的判断的，所以我们可以直接控制其返回一个不存在的类，就会造成false从而进入eval *** ；继续回到eval *** ；

这里还有个getCode *** ，我们通过上面的类也可审计getCode *** ；code在MockDefinition类中也是可控的，所以我们可以随意的控制其内容，那么我们就可命令执行；放出我exp：

这里为了节省时间，我最后用abcdef直接代替了，造成rce；

细心的师傅想必也发现了；在最开始的call_user_func处，也是可以进行命令执行的；

这里可以直接控制进行命令执行；这个很简单，就直接放出我exp吧；