Laravel漏洞CVE-2021-3129分析
0x01 前言
最近在搭建复现CVE-2021-3129踩了一些坑,在这边记录一下。顺便拓展下利用编码控制文件内容的一些姿势。
0x02 从hitcon2018的One Line PHP Challenge看CVE-2021-3129
希望直接看环境搭建和exp的可以先跳过~
其实当时在写这个漏洞POC的时候,就发现这个漏洞给我一种似曾相识的感觉,就是当年hitcon的这个经典CTF题。
区别在于one-line-php-challenge这题是通过写入session文件利用文件包含getshell。而CVE-2021-3129则是通过控制laravel.log最终反序列化执行命令。
共同点则在于都是利用编码转换清除内容,令写入的文件内容绕过特定或者冗余数据的限制。
One-line-php-challenge
赛题可以说是很简洁明了了。
通过Get传入orange参数作为文件名,系统将该文件的前6个字符与@<?php比较,若匹配则包含这个文件。
当时的条件是
通过?PHP_SESSION_UPLOAD_PROGRESS控制?session 文件
文件的开头必须是?@<?php
这个文件是以?upload_progress_?开头的,不能直接包含,需要控制这个开头。
base64编码绕过
首先了解下base64编码。
base64编码表为:0-9,26个英文小写字母a-z,26个英文大写字母:A-Z,除此之外还有额外两个字符"+"和"/"
如果遇到非编码表中的字符则会绕过。
可以看到如",,,,"被base64解码忽略
这边我们需要绕过的文件开头为upload_progress_,只要令其最终解码为非编码表内容即可。
"upload_progress_"为16位字符。可被base64解析为14个字符,所以我们需要补两个字符。假设补充字符为"zz",则base64 decode后结果为3个可解析字符,我们需要fuzz两个字符,令其第一次解码后存在四个编码表内容,且这四个字符base64解码后的内容均不在编码表中。其中"ZZ"满足条件。
构造编码
已知我们需要三次解码才能绕过文件开头,所以将我们写入的内容编码三次即可。最后再三次解码即成功绕过。
实际题目中利用php伪协议三次base64解码判断绕过文件头,成功写入的webshell文件。
然后我们再来看CVE-2021-3129
0x03 环境build
影响范围
Laravel <=8.4.2
Ignition <2.5.2
docker搭建
目前vulhub在dockerhub上并无现成的镜像可以pull。如果后续增加了可以直接pull vulhub的Laravel镜像。
vulhub给了dockerfile
composer 的安装包网址是国外镜像,这边换成阿里的镜像源
构建镜像起容器。
访问8080端口如下则环境构建完毕。
0x04 分析
漏洞点
在Ignition(<=2.5.1)中,默认提供了一些solutions,其中可以通过MakeViewVariableOptionalSolution的file_get_contents()的可控参数利用phar伪协议反序列化。
通过控制器调用MakeViewVariableOptionalSolution传入可控parameters参数。
测试phar反序列化
显然如果存在一个可控的上传点,可以触发反序列化执行命令。
使用phpggc生成序列化利用POC
https://github.com/ambionics/phpggc
我这边将phar.log放到服务的/var/www/storage/logs路径下。
尝试反序列化成功执行命令
利用laravel.log实现phar反序列化
利用这边的file_put_contents 使用php伪协议php://filter/write达到控制log内容的效果。
首先要想利用laravel.log,清空log内容。可能会想到一直base64 decode。直到都为不可见字符解码清空。但是这个做法会有问题。因为base64在解码的时候如果等号后面还有内容则会报错。
这边大佬的做法是utf-8转utf-16 然后quoted-printable编码 然后utf-16转utf-8 完成上述操作后log中所有字符转为不可见字符,最后base64 decode即可。
利用报错写入laravel.log
给Log增加一次前缀
phpggc生成序列化利用POC
log文件转换为phar文件
利用phar伪协议反序列化
0x05 Exploit
效果如下:
0x06 参考
https://xz.aliyun.com/t/9030
https://www.ambionics.io/blog/laravel-debug-rce?
