找黑客平台

Laravel漏洞CVE-2021-3129分析

访客3年前黑客工具642

0x01 前言

最近在搭建复现CVE-2021-3129踩了一些坑,在这边记录一下。顺便拓展下利用编码控制文件内容的一些姿势。

0x02 从hitcon2018的One Line PHP Challenge看CVE-2021-3129

希望直接看环境搭建和exp的可以先跳过~

其实当时在写这个漏洞POC的时候,就发现这个漏洞给我一种似曾相识的感觉,就是当年hitcon的这个经典CTF题。

区别在于one-line-php-challenge这题是通过写入session文件利用文件包含getshell。而CVE-2021-3129则是通过控制laravel.log最终反序列化执行命令。

共同点则在于都是利用编码转换清除内容,令写入的文件内容绕过特定或者冗余数据的限制。

One-line-php-challenge

赛题可以说是很简洁明了了。

通过Get传入orange参数作为文件名,系统将该文件的前6个字符与@<?php比较,若匹配则包含这个文件。
当时的条件是
  • 通过?PHP_SESSION_UPLOAD_PROGRESS控制?session 文件
  • 文件的开头必须是?@<?php
  • 这个文件是以?upload_progress_?开头的,不能直接包含,需要控制这个开头。
base64编码绕过
首先了解下base64编码。
base64编码表为:0-9,26个英文小写字母a-z,26个英文大写字母:A-Z,除此之外还有额外两个字符"+"和"/"
如果遇到非编码表中的字符则会绕过。
image
可以看到如",,,,"被base64解码忽略
这边我们需要绕过的文件开头为upload_progress_,只要令其最终解码为非编码表内容即可。
"upload_progress_"为16位字符。可被base64解析为14个字符,所以我们需要补两个字符。假设补充字符为"zz",则base64 decode后结果为3个可解析字符,我们需要fuzz两个字符,令其之一次解码后存在四个编码表内容,且这四个字符base64解码后的内容均不在编码表中。其中"ZZ"满足条件。
image
构造编码
已知我们需要三次解码才能绕过文件开头,所以将我们写入的内容编码三次即可。最后再三次解码即成功绕过。
image
实际题目中利用php伪协议三次base64解码判断绕过文件头,成功写入的webshell文件。
然后我们再来看CVE-2021-3129
0x03 环境build
影响范围
Laravel <=8.4.2
Ignition <2.5.2
docker搭建
目前vulhub在dockerhub上并无现成的镜像可以pull。如果后续增加了可以直接pull vulhub的Laravel镜像。
vulhub给了dockerfile
composer 的安装包网址是国外镜像,这边换成阿里的镜像源
构建镜像起容器。
访问8080端口如下则环境构建完毕。
image
0x04 分析
漏洞点
在Ignition(<=2.5.1)中,默认提供了一些solutions,其中可以通过MakeViewVariableOptionalSolution的file_get_contents()的可控参数利用phar伪协议反序列化。
image
通过控制器调用MakeViewVariableOptionalSolution传入可控parameters参数。
image
测试phar反序列化
显然如果存在一个可控的上传点,可以触发反序列化执行命令。
使用phpggc生成序列化利用POC
https://github.com/ambionics/phpggc
image
我这边将phar.log放到服务的/var/www/storage/logs路径下。
尝试反序列化成功执行命令
image
利用laravel.log实现phar反序列化
image
利用这边的file_put_contents 使用php伪协议php://filter/write达到控制log内容的效果。
首先要想利用laravel.log,清空log内容。可能会想到一直base64 decode。直到都为不可见字符解码清空。但是这个做法会有问题。因为base64在解码的时候如果等号后面还有内容则会报错。
这边大佬的做法是utf-8转utf-16 然后quoted-printable编码 然后utf-16转utf-8 完成上述操作后log中所有字符转为不可见字符,最后base64 decode即可。
利用报错写入laravel.log
给Log增加一次前缀
phpggc生成序列化利用POC
image
log文件转换为phar文件
image
利用phar伪协议反序列化
image
0x05 Exploit
效果如下:
image
0x06 参考
https://xz.aliyun.com/t/9030
https://www.ambionics.io/blog/laravel-debug-rce?
                                

                    标签:                    Laravel漏洞CVE-2021-3129分析                

                                            

        

        

            返回列表
            
上一篇:微信怎么设置不加好友也能看到对方聊天记录

            
下一篇:怎么进北京商务陪伴儿群【鲜于秋】

        

    

	

		
相关文章

		

		

						
有手机号怎么定位 对方(凭手机号码如何定位)

						
有手机号怎么定位 对方(凭手机号码如何定位) 哈哈,大家每当再寻找自己的亲人,或者朋友的时候,首先想到的是怎么去定位,如果有这样的一个软件既方便又快捷。关于定位大家一定第一时间想到的是一种定位软件。...

				

						
成都殴打女司机(成都男司机暴打女司机)

						
首先,两者都有错这是肯定的。但是男司机我不知道,女司机早在四年前就被爆出不管儿女,每两天就开一次房,而且三番五次把男司机往死路逼,当时男司机承载。 经本人根据多次核实,女人错在先。男人不该下手那么狠,...

				

						
找黑客网真的假的(网上怎么找黑客帮忙)

						
别信那些我刚被骗,所谓的黑客能查各种信息都是骗人的 你找黑客是想做什么直言、不要相信自称什么科技公司的还给你发他们网址还提供地址对吧!那种都是不可信的、黑客也并非万能。 盗号是利用木马,监听别人的密码...

				
刻板印象下写的文案,怎能刺激到用户?

						
刻板印象下写的文案,怎能刺激到用户?

						
当文案人用刻板印象来筹划产物的受众时,产物自然也会被用户用刻板印象来评价,难以刺激到用户的消操心理。 刻板印象是演化进程下的产品,好听点说法叫履历、叫分明看人。 逆耳点的说法,就是贴标签、阶层分类。...

				

						
黑客qq图标大全,传奇黑客怎么找,黑客破解后台密码

						
$ apt-get install gnuplot{最终是履行速度的改变,这儿要注意的是,假如跟着时刻的推移,履行速度越来越慢,有一种或许是由于fuzzer耗尽一些共享资源。 研讨发现假如用户将App...

				

						
宋轶就“好嫁风”争议道歉 新剧穿搭形容人设引

						
近日,演员宋轶发文晒图为新剧宣传,图上写的“好嫁风”引起网友争议。随后她深夜道歉,表示:“没有考虑周全,本意其实是围绕角色本身对结婚‘痴狂’的特点配合宣传,无意冒犯我自己也所处的群体”。本意是想表达对...

				
		

	

    



    

                    

    

    

    

        

            
Copyright Your WebSite.Some Rights Reserved.

            
            
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!
            
Hacker by Hacker.