找黑客平台

Laravel漏洞CVE-2021-3129分析

访客4年前黑客工具672

0x01 前言

最近在搭建复现CVE-2021-3129踩了一些坑,在这边记录一下。顺便拓展下利用编码控制文件内容的一些姿势。

0x02 从hitcon2018的One Line PHP Challenge看CVE-2021-3129

希望直接看环境搭建和exp的可以先跳过~

其实当时在写这个漏洞POC的时候,就发现这个漏洞给我一种似曾相识的感觉,就是当年hitcon的这个经典CTF题。

区别在于one-line-php-challenge这题是通过写入session文件利用文件包含getshell。而CVE-2021-3129则是通过控制laravel.log最终反序列化执行命令。

共同点则在于都是利用编码转换清除内容,令写入的文件内容绕过特定或者冗余数据的限制。

One-line-php-challenge

赛题可以说是很简洁明了了。

通过Get传入orange参数作为文件名,系统将该文件的前6个字符与@<?php比较,若匹配则包含这个文件。
当时的条件是
  • 通过?PHP_SESSION_UPLOAD_PROGRESS控制?session 文件
  • 文件的开头必须是?@<?php
  • 这个文件是以?upload_progress_?开头的,不能直接包含,需要控制这个开头。
base64编码绕过
首先了解下base64编码。
base64编码表为:0-9,26个英文小写字母a-z,26个英文大写字母:A-Z,除此之外还有额外两个字符"+"和"/"
如果遇到非编码表中的字符则会绕过。
image
可以看到如",,,,"被base64解码忽略
这边我们需要绕过的文件开头为upload_progress_,只要令其最终解码为非编码表内容即可。
"upload_progress_"为16位字符。可被base64解析为14个字符,所以我们需要补两个字符。假设补充字符为"zz",则base64 decode后结果为3个可解析字符,我们需要fuzz两个字符,令其之一次解码后存在四个编码表内容,且这四个字符base64解码后的内容均不在编码表中。其中"ZZ"满足条件。
image
构造编码
已知我们需要三次解码才能绕过文件开头,所以将我们写入的内容编码三次即可。最后再三次解码即成功绕过。
image
实际题目中利用php伪协议三次base64解码判断绕过文件头,成功写入的webshell文件。
然后我们再来看CVE-2021-3129
0x03 环境build
影响范围
Laravel <=8.4.2
Ignition <2.5.2
docker搭建
目前vulhub在dockerhub上并无现成的镜像可以pull。如果后续增加了可以直接pull vulhub的Laravel镜像。
vulhub给了dockerfile
composer 的安装包网址是国外镜像,这边换成阿里的镜像源
构建镜像起容器。
访问8080端口如下则环境构建完毕。
image
0x04 分析
漏洞点
在Ignition(<=2.5.1)中,默认提供了一些solutions,其中可以通过MakeViewVariableOptionalSolution的file_get_contents()的可控参数利用phar伪协议反序列化。
image
通过控制器调用MakeViewVariableOptionalSolution传入可控parameters参数。
image
测试phar反序列化
显然如果存在一个可控的上传点,可以触发反序列化执行命令。
使用phpggc生成序列化利用POC
https://github.com/ambionics/phpggc
image
我这边将phar.log放到服务的/var/www/storage/logs路径下。
尝试反序列化成功执行命令
image
利用laravel.log实现phar反序列化
image
利用这边的file_put_contents 使用php伪协议php://filter/write达到控制log内容的效果。
首先要想利用laravel.log,清空log内容。可能会想到一直base64 decode。直到都为不可见字符解码清空。但是这个做法会有问题。因为base64在解码的时候如果等号后面还有内容则会报错。
这边大佬的做法是utf-8转utf-16 然后quoted-printable编码 然后utf-16转utf-8 完成上述操作后log中所有字符转为不可见字符,最后base64 decode即可。
利用报错写入laravel.log
给Log增加一次前缀
phpggc生成序列化利用POC
image
log文件转换为phar文件
image
利用phar伪协议反序列化
image
0x05 Exploit
效果如下:
image
0x06 参考
https://xz.aliyun.com/t/9030
https://www.ambionics.io/blog/laravel-debug-rce?
                                

                    标签:                    Laravel漏洞CVE-2021-3129分析                

                                            

        

        

            返回列表
            
上一篇:微信怎么设置不加好友也能看到对方聊天记录

            
下一篇:怎么进北京商务陪伴儿群【鲜于秋】

        

    

	

		
相关文章

		

		
耗子尾汁是什么梗 不讲武德什么梗

						
耗子尾汁是什么梗 不讲武德什么梗

						
马保国的老鼠尾汁,好好地反狮,年青人不讲武德等表情图在互联网上疯转,这一梗听上来像饮品,实际上是“好自为之”说话不清楚导致的,进而被网民竞相效仿吐槽,老鼠尾汁不讲武德什么鬼?下边产生详细介绍。 老鼠...

				

						
Internet Explorer脚本引擎成为2018年朝鲜APT组织最喜爱的攻击目标_旅店

						
今年,在黑客成功部署了两个0 day漏洞后,Internet Explorer的脚本引擎正式升级为朝鲜网络间谍组织最喜欢的攻击目标。没错,今天所说的这个组织就是DarkHotel,迈克菲和许多其他网络...

				

						
成都花茶铺60元一次_松江大学城300一次

						
杨丞琳听到潘玮柏结婚哭了...

				

						
房产知识:办住房公积金都需要什么资料

						
相信现在有很多的朋友们对于办住房公积金都需要什么资料都想要了解吧,那么今天小编就来给大家针对办住房公积金都需要什么资料进行一个介绍吧,希望小编介绍的内容能够为大家起到帮助哦 直接找代理,全都帮你办了,...

				

						
怎么破微信密码有没有黑客收徒弟「黑客入侵电脑高清图片」

						
...

				

						
留学找黑客改成就-wifi黑客app(黑客能通过wifi知道你的浏览内容吗)

						
网络黑客如何变成网络黑客的 如何找黑客的联系电话(找寻网络黑客妙手联系电话) 菜鸟快递怎么拉黑顾客 淘宝网查个人信息的是真的么(淘宝卖家泄漏私人信息) 网络黑客怎么隐藏自身的部位...

				
		

	

    



    

                    

    

    

    

        

            
Copyright Your WebSite.Some Rights Reserved.

            
            
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!
            
Hacker by Hacker.