新手分析typecho 反序列化漏洞 - rivir-江sir

新手分析typecho 反序列化漏洞

  • 2017-10-28
  • 1,280
  • 2

install.php中存在下面这段代码

很明显的存在反序列操作,我们需要做的找下有那些可以被执行的魔术方法,一般是找__destruct,__wakeup,__toString等这些

__destruct : 有两处,__wakeup没有,我们继续看install.php下一句new了一个Db对象,跟进去Db类的构造函数看下

在DB类的构造函数里面有如下

这段话将$adapterName属性和字符串拼接在一块,会自动调用__toString魔术方法,我们只需要传入一个数组,让adapter值为一个有__toString方法的类即可,我们来找找有那些类有__toString 函数

主要有三处, 第一出Config.php的__toString 函数中是一个序列化方法, 第二处Query.php文件是一个构造查询语句的过程, 第三处在Feed.php中构造Feed输出的内容, 仔细观察发现这三个魔术方法中都没有调用一些危险函数, 这个时候我们需要继续构造pop链,直到找到一些危险函数

第三处的__toString函数里简要逻辑如下:

这里有三个选择语句,我们看到,第二个和第三个选择语句都调用了一个item元素里的一个属性,如果这个属性是从某个类的不可访问属性里获取的,那么会自动调用__get方法, 因此我们这里又找到一条可以自动执行的pop链了

我们全局搜索__get函数,一共有七处,其他几处可以自己去看看,这里直接来到`Typecho_request.php文件处

跟进get()函数

get方法主要通过key值获取$this->_params中键的值, 接着调用了_applyFilter方法

到这一步,我们可以看到array_mapcall_user_func均可造成任意代码执行, 且_filter$value变量都可控, 回顾整个pop链 , 我们开始构造我们的poc

当然你会注意到__toString函数也调用了url属性

那么url参数可以利用吗,也是可以的,道理一样,将Typecho_Request类改成如下即可

这个pop链的构造其实还是有缺陷的,就是无法回显执行结果,因为install.php还调用了一个ob_start()函数,将结果都送入到缓冲区中了,想要回显出先执行结果,可以参考知道创宇LoRexxar 大佬的分析文章

https://paper.seebug.org/424/

总结:

  1. 反序列化对象无法实例化去调用类函数,因此只能通过一些自动调用的魔术方法来实现
  2. 构造pop链的过程即是不断寻找可以自动调用函数的地方(如将可控变量和字符拼接可以调用__toString函数,将可控变量访问私有属性可以调用__get方法, 以及一些自动调用的析构函数,直到找到可以调用危险函数的地方
  3. 反序列化的漏洞可以让我们通过控制对象的变量来改变程序的执行流程,我们需要不断找一些可被自动调用的魔术方法来构造我们的pop链,从而达到我们的目的
  4. 什么是pop链,参考:http://www.blogsir.com.cn/safe/452.html

exp:

参考文章: https://paper.seebug.org/424/
http://p0sec.net/index.php/archives/114/

1,280 views

评论

  • anva回复

    install.php 没有包含feed.php,怎末会触发ypecho_Feed 类的__toString 方法

    • 江sir回复

      typecho包括大多数cms都有自动加载类的功能,比如:__autoload,spl_autoload_register方法