Yii文件包含漏洞分析

最新推荐文章于 2025-03-06 20:08:30 发布
原创 最新推荐文章于 2025-03-06 20:08:30 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文详细探讨了Yii框架中的一个文件包含漏洞,该漏洞存在于`render`函数的`params`参数中,允许攻击者通过可控的键值对覆盖`_file_`变量,从而实现文件包含。由于在`renderPhpFile`函数中使用了`extract`函数且未进行限制,攻击者可以利用此漏洞读取或执行任意文件。在Yii1.0版本中,虽然存在类似函数`renderInternal`,但由于提取变量时有前缀限制,因此无法直接利用。要触发此漏洞,需确保`render`函数的参数键和值都可控。提供的示例代码展示了如何构造利用条件。

yii文件包含漏洞

  1. 触发点
    public function actionIndex()
    {
       // $this->render('index');
        $name =Yii::app()->request->getParam( 'name' );
        $this->render('index', $name);


    }

render 函数

  public function render($view, $params = [], $context = null)
    {
        $viewFile = $this->findViewFile($view, $context);
        return $this->renderFile($viewFile, $params, $context);
    }

$params 参数保证可控,renderFile函数

public function renderFile($viewFile, $params = [], $context = null)
    {
       ····
       ····
        if ($this->beforeRender($viewFile, $params)) {
            Yii::debug("Rendering view file: $viewFile", __METHOD__);
            $ext = pathinfo($viewFile, PATHINFO_EXTENSION);
            if (isset($this->renderers[$ext])) {
                if (is_array($this->renderers[$ext]) || is_string($this->renderers[$ext])) {
                    $this->renderers[$ext] = Yii::createObject($this->renderers[$ext]);
                }
                /* @var $renderer ViewRenderer */
                $renderer = $this->renderers[$ext];
                $output = $renderer->render($this, $viewFile, $params);
            } else {
                $output = $this->renderPhpFile($viewFile, $params);//
            }
            $this->afterRender($viewFile, $params, $output);
        }

        array_pop($this->_viewFiles);
        $this->context = $oldContext;

        return $output;
    }

文件包含在renderPhpFile 函数中

public function renderPhpFile($_file_, $_params_ = [])
    {
        $_obInitialLevel_ = ob_get_level();
        ob_start();
        ob_implicit_flush(false);
        extract($_params_, EXTR_OVERWRITE);
        try {
            require $_file_;
            return ob_get_clean();
        } catch (\Exception $e) {
            while (ob_get_level() > $_obInitialLevel_) {
                if (!@ob_end_clean()) {
                    ob_clean();
                }
            }
            throw $e;
        } catch (\Throwable $e) {
            while (ob_get_level() > $_obInitialLevel_) {
                if (!@ob_end_clean()) {
                    ob_clean();
                }
            }
            throw $e;
        }
    }
extract函数,变量覆盖,未作限制,如果传进来数组key可控,可以覆盖$_file_值,造成文件包含。在Yii1.0版本中尝试了几个版本,发现没有renderPhpFile函数,对应有renderInternal函数,在extract时有前缀限制,无法覆盖任意变量。

yii1.*

public function renderInternal($_viewFile_,$_data_=null,$_return_=false)
{
   // we use special variable names here to avoid conflict when extracting data
   if(is_array($_data_))
      extract($_data_,EXTR_PREFIX_SAME,'data');
   else
      $data=$_data_;
   if($_return_)
   {
      ob_start();
      ob_implicit_flush(false);
      require($_viewFile_);
      return ob_get_clean();
   }
   else
      require($_viewFile_);
}

漏洞利用条件,render函数param参数,key和value都可控。

这里直接写死

    public function actionIndex()
    {
        $name =Yii::app()->request->getParam( 'name' );
        $data=array();
        $this->render('index', array('_file_'=>'D:\\tools\\111.txt'));
    }

参考:https://xz.aliyun.com/t/5051

Yii2 反序列化漏洞(CVE-2020-15148)复现
玄道的网安博客
12-16 9893
漏洞概述 Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize 时,攻击者可通过构造特定的恶意请求执行任意命令。 环境搭建 到github上下载yii2的2.0.37版本 https://github.com/yiisoft/yii2/releases/tag/2.0.37 然后修改/config/web.php文件17行cookieValidationKey,可以随便定义 ...
从某达OA到Yii2框架的cookie反序列化漏洞研究
hackzkaq的博客
10-08 1544
这里存在一个反序列化入口,就是下图else分支的内容,我们上一方法得到的反序列化数据会进入我们的反序列化入口(注意,allowed_classes 被设置为 false,则在反序列化过程中不会创建对象,只会还原基本数据类型,例如字符串、整数、数组等)。这一条路径会使用上面介绍Yii2的cookie处理方法,所以就存在Yii2的那个反序列化入口,在获取到某达oa的config/web.php中的cookieValidationKey值后,我们就可以构造我们的payload进行攻击。
Yii2框架反序列化漏洞利用链(一):妙用Faker\Generator的魔术旅程
qq_63949216的博客
03-06 1361
超详细,看不懂我直接把显示屏吃了!
15-PHP代码审计——yii 2.0.37反序列化漏洞
网络安全
06-06 1473
Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞,如果程序内部调用了unserialize() 反序列化时,那么程序就可能存在反序列化漏洞,攻击者可通过构造特定的恶意请求执行任意命令。 影响版本: yii2 v2.0.37版本以下 环境: yii-basic-app-2.0.37.tgz php7.0以上 poc: http://www.yii2.com/web/index.php?r=test/sss&.
Yii2反序列化漏洞复现
SimoSimoSimo的博客
07-12 2533
Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。Yii2 2.0.38 以前的版本中存在反序列化漏洞,CVE编号是CVE-2020-15148到github上下载yii2的2.0.37版本打开 /config/web.php给17行的cookieValidationKey添加一个值,随便什么都行不添加就
yii2框架开发之安全xss、csrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8382
常见的漏洞攻击:1、xss:是跨站脚本攻击    分3类:1、存储型2、反射型3、蠕虫型2、csrf:是跨站请求伪造攻击    分2类:1、get型2、post型3、sql注入4、文件上传xss攻击:xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站挂马等存储型xss下面我们来看下盗号代码(存储型xss):1、通过在浏览器f12 console中输入:2、docume...
CodeIgniter及Yii 漏洞合集
小小猪的博客
08-19 6191
CodeIgniter漏洞 CodeIgniter 反序列化漏洞 一、任意文件读取 需要用到的rogue_mysql_server.py脚本GitHub:https://github.com/Gifts/Rogue-MySql-Server 配置POC文件 配置恶意Mysql主机IP(攻击者外网IP): 配置py脚本 配置完毕后攻击机上运行py脚本 生成payload 攻击受害机的反序例化点 读取到C:/Windows/win.ini的内容 CodeIg...
yii框架漏洞
最新发布
07-11
默认情况下,Yii的表单组件会自动包含一个CSRF令牌,并在提交时验证该令牌的有效性[^1]。为确保应用安全,开发者应始终启用并正确配置`yii\web\Request::enableCsrfValidation`选项。 ```php // 在配置文件中启用...
yii使用activeFileField控件实现上传文件与图片的方法
10-23
9. 文件上传的安全性和验证:除了确保文件大小和类型符合预期外,还应该对上传的文件进行安全性检查,例如检查文件名是否包含非法字符,文件扩展名是否被篡改等,以防止安全漏洞。 10. 文件上传后的处理逻辑:除了...
Yii2.0文件下载:快速获取Yii框架文件
在深入探讨Yii 2.0文件下载的知识点之前,首先需要明确Yii框架以及其在文件下载方面的功能和作用。Yii是一个高性能的现代PHP框架,它被设计用来开发大型的Web应用。Yii 2.0是Yii框架的最新稳定版本,它提供了一个...
yii2反序列化漏洞总结
unexpectedthing的博客
03-29 5133
文章目录yii2框架 反序列化漏洞复现yii 框架搭建过程CVE-2020-15148复现链子2链子3链子4链子5链子6参考链接 yii2框架 反序列化漏洞复现 yii 框架 Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架。 Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。 Yii
yii反序列化漏洞复现及利用
weixin_44576725的博客
04-06 6681
yii反序列化漏洞 Yii框架 Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架。 Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。 Yii 当前有两个主要版本:1.1 和 2.0。 1.1 版是上代的老版本,现在处于维护状态。 2.0 版是一个完全重写的版本,采用了最新的技术和协议
yii php framework 漏洞,yii框架异常处理导致的xss.md
weixin_39990410的博客
04-13 1219
最近XSS扫描器发现了一些奇怪的漏洞,对一些特征归类,查询,发现是属于yii 1.x框架。Yii是一个免费的,开源的,基于PHP的Web应用程序开发框架虽然YII 已经发布了2.x,但1.x的使用量还是很大的复现下载yii 1.xgit clone https://github.com/yiisoft/yii运行自带的blog demo当请求头带有X-Requested-With: XMLHttp...
yii2框架 反序列化漏洞复现
Zero_Adam的博客
06-19 1701
前言 跟着feng师傅再学习一下yii2的反序列化漏洞,提高代码审计能力 漏洞出现在yii2.0.38之前的版本中,在2.0.38进行了修复,CVE编号是CVE-2020-15148: Yii 2 (yiisoft/yii2) before version 2.0.38 is vulnerable to remote code execution if the application calls unserialize() on arbitrary user input. This is fixed in
yii漏洞-2.0.41链子复现
giaogiao123的博客
08-25 570
一环境配置 1.环境 yii-2.0.41版本 2. vscode+xdebug手动调试 3. php环境7.1 下载源码修改/config/web.php文件17行cookieValidationKey,随便设一个数目,然后,解压,到那个目录下php yii serve 启动(需要配置php环境变量) 访问 http//:localhost:8080 自己写一个反序列化入口 在controllers目录下创建一个TestController: <?php namespace app\contr
CVE-2020-15148 Yii反序列化漏洞复现
绮洛Ki1ro的博客
08-05 998
CVE-2020-15148 Yii反序列化漏洞复现
Yii2 反序列化漏洞复现
qq_44657899的博客
09-23 1171
文章目录漏洞详情环境搭建漏洞复现 漏洞详情 漏洞版本小于yii2.0.38 环境搭建 下载yii2.0.37版本,https://github.com/yiisoft/yii2/releases/tag/2.0.37, 放在phpstudy的www目录下。 这是一个反序列化利用链,所以还需要一个反序列化的入口点,在controllers目录下创建一个TestController.php <?php namespace app\controllers; use Yii; use yii\web\Cont
Yii2框架反序列化漏洞利用链(三):通达OA的魔术方法利用之旅
qq_63949216的博客
03-06 1259
恩师小迪
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值