CVE-2019-9081 Laravel v5.7反序列化RCE漏洞复现

  • 2019 年 10 月 6 日
  • 筆記

0X1 漏洞概述

最近在复现一些AWD线下赛环境,恰好看见有大佬放出的QWB的一道关于Laravel v5.7的反序列化漏洞的利用过程文章。今天特地将此CVE-2019-9081漏洞还原复现。

Laravel v5.7是一款基于php 7.1.3之上运行的优秀php开发框架,5.7.x版本中的Illuminate组件存在反序列化漏洞。

0X2 环境搭建

Laravel通过composer安装搭建。在此我们直接选择比赛时的源码环境进行本地运行,使用环境配置如下:

  系统:Ubuntu16.04    PHP:PHP7.3    HTTP:Apache2

开启Apache2之后,将PHP切换到PHP7.3,因为7.2编译过程没有使用OpenSSL,所以后续会报错,因此下载源码包安装了最新的PHP7.3,所以使用命令如下:

#禁用Apache中的PHP7.2  sudo a2dismod php7.2  #启用PHP7.2  sudo a2enmod php7.3

接下来使用命令:php7.3 artisan serve启动服务测试:

在浏览器中可以访问证明环境ok。

漏洞发现作者已经在routes/web.php中添加一条路由:

Route::get('/index', 'TaskController@index');

接下来在app/Http/Controllers文件夹下创建文件TaskController.php,源码如下:

通过上一条路由我们在访问入口文件即可连接过来。

0X3 漏洞利用

漏洞分析过程在此不再赘述,具体详情可查看原作者博客。我们通过浏览器访问环境

http://172.16.1.137/laravel-5.7/public/index.php/index?code

其中code参数的值就是我们要传入的反序列化代码。如下图所示,根据漏洞出处的组件跟踪漏洞位置在__destruct()函数中。

贴出作者给的exp脚本:

然后利用该脚本生成反序列化数据:

运行该脚本得到数据,如下图所示。

访问刚才的连接,传入反序列化exp数据值,如下图所示,得到结果:

漏洞利用成功!

0X4 漏洞修复

删除__destruct中的$this->run()代码段即可。

0X5 参考文章

https://xz.aliyun.com/t/5510

https://laworigin.github.io/2019/02/21/laravelv5-7%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96rce/