PHP - RCE abusing object creation: new $_GET["a"]($_GET["b"])
Last updated
Last updated
AWS Hacking öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Bu, https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/ adresinin temel bir özetidir.
new $_GET["a"]($_GET["a"])
gibi yeni rastgele nesnelerin oluşturulması, yazıda detaylandırıldığı gibi Uzaktan Kod Yürütme (RCE) ile sonuçlanabilir. Bu belge, RCE elde etmenin çeşitli stratejilerini vurgulamaktadır.
new $a($b)
sözdizimi, $a
sınıf adını ve $b
yapıcıya geçirilen ilk argümanı temsil eden bir nesne oluşturmak için kullanılır. Bu değişkenler, GET/POST gibi kullanıcı girdilerinden, string veya dizi olarak veya JSON'dan, diğer türler olarak elde edilebilir.
Aşağıdaki kod parçasını düşünün:
Bu durumda, $a
'yı App
veya App2
olarak ve $b
'yi bir sistem komutu (örneğin, uname -a
) olarak ayarlamak, o komutun çalıştırılmasına neden olur.
Otomatik yükleme fonksiyonları, doğrudan erişilebilen böyle sınıflar yoksa istismar edilebilir. Bu fonksiyonlar, ihtiyaç duyulduğunda dosyalardan sınıfları otomatik olarak yükler ve spl_autoload_register
veya __autoload
kullanılarak tanımlanır:
Otomatik yüklemenin davranışı PHP sürümlerine göre değişiklik gösterir ve farklı RCE olasılıkları sunar.
Özel sınıflar veya otomatik yükleyiciler yoksa, yerleşik PHP sınıfları RCE için yeterli olabilir. Bu sınıfların sayısı PHP sürümüne ve uzantılara bağlı olarak 100 ile 200 arasında değişir. get_declared_classes()
kullanılarak listelenebilirler.
İlgili yapıcılar, aşağıdaki örnekte ve bağlantıda gösterildiği gibi, yansıma API'si aracılığıyla tanımlanabilir: https://3v4l.org/2JEGF.
Belirli yöntemler aracılığıyla RCE şunları içerir:
SplFileObject
sınıfı, yapıcısı aracılığıyla SSRF'yi etkinleştirir ve herhangi bir URL'ye bağlantılara izin verir:
SSRF, PHP'nin 8.0'dan önceki sürümlerinde Phar protokolünü kullanarak deserialization saldırılarına yol açabilir.
PDO sınıfı yapıcı fonksiyonu, DSN dizeleri aracılığıyla veritabanlarına bağlantılara izin verir, bu da dosya oluşturma veya diğer etkileşimleri mümkün kılabilir:
PHP'nin 5.3.22 ve 5.4.12 sürümleri, libxml2 sürümüne bağlı olarak SoapClient
ve SimpleXMLElement
yapıcıları aracılığıyla XXE saldırılarına karşı savunmasızdı.
Proje bağımlılıklarının analizinde, Imagick'in yeni nesne örnekleri oluşturarak komut yürütme için kullanılabileceği keşfedildi. Bu, güvenlik açıklarından yararlanma fırsatı sunar.
Dosya sisteminde belirtilen herhangi bir yola içerik yazma yeteneğine sahip VID parser'ın varlığı tespit edildi. Bu, web erişilebilir bir dizine bir PHP shell yerleştirilmesine yol açabilir ve Uzak Kod Yürütme (RCE) sağlanabilir.
PHP'nin yüklenen dosyaları geçici olarak /tmp/phpXXXXXX
dizininde sakladığı belirtilmiştir. Imagick'teki VID parser, msl protokolünü kullanarak dosya yollarında joker karakterleri işleyebilir ve geçici dosyayı seçilen bir konuma taşıyabilir. Bu yöntem, dosya sisteminde keyfi dosya yazma elde etmek için ek bir yaklaşım sunar.
orijinal yazımda tanımlanan bir yöntem, silinmeden önce bir sunucu çökmesine neden olan dosyaların yüklenmesini içerir. Geçici dosyanın adını kaba kuvvetle tahmin ederek, Imagick'in keyfi PHP kodu yürütmesi mümkün hale gelir. Ancak, bu tekniğin yalnızca eski bir ImageMagick sürümünde etkili olduğu bulunmuştur.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)