Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

Laravel刚刚发布的远程代码执行漏洞如何解决

问答 / 0 / 6 / 创建于 2年前

1. 运行环境

1). 当前使用的 Laravel 版本?

2). 当前使用的 php/php-fpm 版本?

PHP 版本:laravel 5.8.38

php-fpm 版本:7.2

3). 当前系统 Windows 10

4). 业务环境 生产环境

5). 相关软件版本

2. 问题描述?

laravel刚刚发布的一个针对 5.8.38 版本的远程代码执行漏洞如何解决,以下是参考链接。
www.cnvd.org.cn/flaw/show/CNVD-202...

里面说了一个解决方式,参考链接
github.com/guoyanan1g/Laravel-vul/...
这个好像是没用啊,还是用的不对?如果用的不对的话,麻烦各位大神给出正确的使用方式,或者针对此漏洞给出解决方案(不能升级到更高版本的laravel,会有问题)

3. 您期望得到的结果?

4. 您实际得到的结果?

lazyyy_boy
2 声望
暂无个人描述~
《L04 微信小程序从零到发布》
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
《L03 构架 API 服务器》
《L03 构架 API 服务器》
你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程,JWT 概念及使用 和 API 开发相关的进阶知识。
leo
管理员 4.7k 声望 / Engineering Director of Backend @ RightCapital
最佳答案

看了下 poc 看起来是需要依赖 Mockery 这个包才能执行,正常线上项目 composer install --no-dev 是不会包含 Mockery 的,所以不用修。

2年前 评论
lazyyy_boy (楼主) 2年前
好的,多谢啦!!
2
讨论数量: 6

高认可度评论:

飞机飞过天空
Laravel 7.x 译者 269 声望

由于本 CVE-2021-43503 我没有复现(在对应的 issue 中询问了为什么复现不了),但是在其 issue 中发现了另外一个 CVE-2022-30778,我成功复现了,所以下面会谈 CVE-2022-30778,而不是 CVE-2021-43503。

对于 CVE-2022-30778 具体可以看这个仓库,根据 README 中的步骤可以实现 RCE,示例会在 public/ 目录下创建一个 hello/ 目录。

Laravel

该漏洞是利用 PHP 反序列化。

首先来看一下 POP 链:

// vendor/laravel/framework/src/Illuminate/Broadcasting/PendingBroadcast.php, __destruct
public function __destruct()
{
    $this->events->dispatch($this->event);
}

// vendor/laravel/framework/src/Illuminate/Bus/Dispatcher.php, dispatch
public function dispatch($command)
{
    return $this->queueResolver && $this->commandShouldBeQueued($command)
                    ? $this->dispatchToQueue($command)
                    : $this->dispatchNow($command);
}

// vendor/laravel/framework/src/Illuminate/Bus/Dispatcher.php, dispatchToQueue
public function dispatchToQueue($command)
{
    $connection = $command->connection ?? null;

    $queue = call_user_func($this->queueResolver, $connection);

    if (! $queue instanceof Queue) {
        throw new RuntimeException('Queue resolver did not return a Queue implementation.');
    }

    if (method_exists($command, 'queue')) {
        return $command->queue($queue, $command);
    }

    return $this->pushCommandToQueue($queue, $command);
}

源头出在 __destruct(),反序列化 PendingBroadcast 类时会调用该方法,这也是很多反序列化漏洞的突破口。

实际执行危险代码的是 dispatchToQueue() 中的 $queue = call_user_func($this->queueResolver, $connection);

其中 call_user_func(callable $callback, mixed ...$args) 会调用 $callback 并将 ...$args 作为参数。

在我的 repo 中的 PoC 的例子中,构造上述 POP 链,来自定义 $this->queueResolver$connection 值。在我的例子中为 $this->queueResolver = "system", $connection = "mkdir hello",也就是在 public 目录下创建 hello 目录。

CVE-2022-30778 有多大危害

根据上述的推理,触发 CVE-2022-30778 需要使用 unserialize() 并且其中还能接受用户输入。文档中也明确定义了这么做是危险的。

file

用 SQL 注入来做对比,在 Laravel 中 DB::raw($value) 会原样执行 $value 中的内容,如果 $value 是用户输入的,则会产生 SQL 注入。但我们不会这么写代码,我们会保证 $value 是可控制的,不让用户输入,这样就不会造成 SQL 注入。(在这个 issue 的 reply 中同样举了关于 ROP 的例子。)

回到本漏洞,只要你的系统中没有用到 unserialize() 并且其参数能接受用户输入的话,就不会触发该漏洞。反之,如果用到,至少会触发 CVE-2022-30778。为什么说至少,因为可能还有其他漏洞没有被发现。

2年前 评论
6
排序:
时间 投票
lazyyy_boy
2 声望

有哪位可以分析一下这个漏洞的具体应用吗?影响面

2年前 评论
leo
管理员 4.7k 声望 / Engineering Director of Backend @ RightCapital

看了下 poc 看起来是需要依赖 Mockery 这个包才能执行,正常线上项目 composer install --no-dev 是不会包含 Mockery 的,所以不用修。

2年前 评论
lazyyy_boy (楼主) 2年前
好的,多谢啦!!
2
lazyyy_boy
2 声望

好的,多谢啦!

2年前 评论
飞机飞过天空
Laravel 7.x 译者 269 声望

由于本 CVE-2021-43503 我没有复现(在对应的 issue 中询问了为什么复现不了),但是在其 issue 中发现了另外一个 CVE-2022-30778,我成功复现了,所以下面会谈 CVE-2022-30778,而不是 CVE-2021-43503。

对于 CVE-2022-30778 具体可以看这个仓库,根据 README 中的步骤可以实现 RCE,示例会在 public/ 目录下创建一个 hello/ 目录。

Laravel

该漏洞是利用 PHP 反序列化。

首先来看一下 POP 链:

// vendor/laravel/framework/src/Illuminate/Broadcasting/PendingBroadcast.php, __destruct
public function __destruct()
{
    $this->events->dispatch($this->event);
}

// vendor/laravel/framework/src/Illuminate/Bus/Dispatcher.php, dispatch
public function dispatch($command)
{
    return $this->queueResolver && $this->commandShouldBeQueued($command)
                    ? $this->dispatchToQueue($command)
                    : $this->dispatchNow($command);
}

// vendor/laravel/framework/src/Illuminate/Bus/Dispatcher.php, dispatchToQueue
public function dispatchToQueue($command)
{
    $connection = $command->connection ?? null;

    $queue = call_user_func($this->queueResolver, $connection);

    if (! $queue instanceof Queue) {
        throw new RuntimeException('Queue resolver did not return a Queue implementation.');
    }

    if (method_exists($command, 'queue')) {
        return $command->queue($queue, $command);
    }

    return $this->pushCommandToQueue($queue, $command);
}

源头出在 __destruct(),反序列化 PendingBroadcast 类时会调用该方法,这也是很多反序列化漏洞的突破口。

实际执行危险代码的是 dispatchToQueue() 中的 $queue = call_user_func($this->queueResolver, $connection);

其中 call_user_func(callable $callback, mixed ...$args) 会调用 $callback 并将 ...$args 作为参数。

在我的 repo 中的 PoC 的例子中,构造上述 POP 链,来自定义 $this->queueResolver$connection 值。在我的例子中为 $this->queueResolver = "system", $connection = "mkdir hello",也就是在 public 目录下创建 hello 目录。

CVE-2022-30778 有多大危害

根据上述的推理,触发 CVE-2022-30778 需要使用 unserialize() 并且其中还能接受用户输入。文档中也明确定义了这么做是危险的。

file

用 SQL 注入来做对比,在 Laravel 中 DB::raw($value) 会原样执行 $value 中的内容,如果 $value 是用户输入的,则会产生 SQL 注入。但我们不会这么写代码,我们会保证 $value 是可控制的,不让用户输入,这样就不会造成 SQL 注入。(在这个 issue 的 reply 中同样举了关于 ROP 的例子。)

回到本漏洞,只要你的系统中没有用到 unserialize() 并且其参数能接受用户输入的话,就不会触发该漏洞。反之,如果用到,至少会触发 CVE-2022-30778。为什么说至少,因为可能还有其他漏洞没有被发现。

2年前 评论
6
飞机飞过天空
Laravel 7.x 译者 269 声望

该漏洞后续:本帖作者给出的 CVE-2021-43503 和我分析的 CVE-2022-30778 都已经被拒绝,不再属于漏洞。更多上下文可以看这条 issue

2年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
lazyyy_boy 2 声望
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消