欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Typo3 CVE-2019-12747 反序列化漏洞分析

来源:本站整理 作者:佚名 时间:2019-08-02 TAG: 我要投稿

1. 前言
TYPO3是一个以PHP编写、采用GNU通用公共许可证的自由、开源的内容管理系统。
2019年7月16日,RIPS的研究团队公开了Typo3 CMS的一个关键漏洞详情[1],CVE编号为CVE-2019-12747,它允许后台用户执行任意PHP代码。
漏洞影响范围:Typo3 8.x-8.7.26 9.x-9.5.7。
 
2. 测试环境简述
Nginx/1.15.8PHP 7.3.1 + xdebug 2.7.2MySQL 5.7.27Typo3 9.5.7
 
3. TCA
在进行分析之前,我们需要了解下Typo3的TCA(Table Configuration Array),在Typo3的代码中,它表示为$GLOBALS[‘TCA’]。
在Typo3中,TCA算是对于数据库表的定义的扩展,定义了哪些表可以在Typo3的后端可以被编辑,主要的功能有
表示表与表之间的关系
定义后端显示的字段和布局
验证字段的方式
这次漏洞的两个利用点分别出在了CoreEngine和FormEngine这两大结构中,而TCA就是这两者之间的桥梁,告诉两个核心结构该如何表现表、字段和关系。
TCA的第一层是表名:
$GLOBALS['TCA']['pages'] = [
    ...];
$GLOBALS['TCA']['tt_content'] = [
    ...];
其中pages和tt_content就是数据库中的表。
接下来一层就是一个数组,它定义了如何处理表,
$GLOBALS['TCA']['pages'] = [
    'ctrl' => [ // 通常包含表的属性
        ....    ],
    'interface' => [ // 后端接口属性等
        ....    ],
    'columns' => [
        ....    ],
    'types' => [
        ....    ],
    'palettes' => [
        ....    ],
];
在这次分析过程中,只需要了解这么多,更多详细的资料可以查询官方手册[2]。
 
4. 漏洞分析
整个漏洞的利用流程并不是特别复杂,主要需要两个步骤,第一步变量覆盖后导致反序列化的输入可控,第二步构造特殊的反序列化字符串来写shell。第二步这个就是老套路了,找个在魔术方法中能写文件的类就行。这个漏洞好玩的地方在于变量覆盖这一步,而且进入两个组件漏洞点的传入方式也有着些许不同,接下来让我们看一看这个漏洞吧。
4.1 补丁分析
从Typo3官方的通告[3]中我们可以知道漏洞影响了两个组件——Backend & Core API (ext:backend, ext:core),在GitHub上我们可以找到修复记录[4]:

很明显,补丁分别禁用了backend的DatabaseLanguageRows.php和core中的DataHandler.php中的的反序列化操作。
4.2 Backend ext 漏洞点利用过程分析
根据补丁的位置,看下Backend组件中的漏洞点。
路径:typo3/sysext/backend/Classes/Form/FormDataProvider/DatabaseLanguageRows.php:37
public function addData(array $result){
if (!empty($result['processedTca']['ctrl']['languageField'])
        && !empty($result['processedTca']['ctrl']['transOrigPointerField'])
    ) {
        $languageField = $result['processedTca']['ctrl']['languageField'];
        $fieldWithUidOfDefaultRecord = $result['processedTca']['ctrl']['transOrigPointerField'];
if (isset($result['databaseRow'][$languageField]) && $result['databaseRow'][$languageField] > 0
            && isset($result['databaseRow'][$fieldWithUidOfDefaultRecord]) && $result['databaseRow'][$fieldWithUidOfDefaultRecord] > 0
        ) {// Default language record of localized record
            $defaultLanguageRow = $this->getRecordWorkspaceOverlay(
                $result['tableName'],
                (int)$result['databaseRow'][$fieldWithUidOfDefaultRecord]
            );
if (empty($defaultLanguageRow)) {
throw new DatabaseDefaultLanguageException('Default language record with id ' . (int)$result['databaseRow'][$fieldWithUidOfDefaultRecord]
                    . ' not found in table ' . $result['tableName'] . ' while editing record ' . $result['databaseRow']['uid'],1438249426
                );
            }
            $result['defaultLanguageRow'] = $defaultLanguageRow;
// Unserialize the "original diff source" if givenif (!empty($result['processedTca']['ctrl']['transOrigDiffSourceField'])                && !empty($result['databaseRow'][$result['processedTca']['ctrl']['transOrigDiffSourceField']])            ) {                $defaultLanguageKey = $result['tableName'] . ':' . (int)$result['databaseRow']['uid'];                $result['defaultLanguageDiffRow'][$defaultLanguageKey] = unserialize($result['databaseRow'][$result['processedTca']['ctrl']['transOrigDiffSourceField']]);            }//省略代码        }//省略代码    }//省略代码}

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载