CakePHP 5.1.14 反序列化POP链挖掘与分析<\/h1>

概述<\/h2>
本文详细分析了CakePHP 5.1.14最新版本中的两条反序列化POP(Property-Oriented Programming)链，这些链可用于实现远程代码执行(RCE)。文章包含完整的调用链分析、调试过程以及两个不同的利用链构造方法。<\/p>

背景<\/h2>
CakePHP框架在3.x和4.x版本中已知的反序列化漏洞入口点`vendor\symfony\process\Process.php<\/code>在5.1.14版本中已被修复，新增了__wakeup<\/code>方法限制，直接抛出异常阻止了旧链的利用。<\/p>`

第一条POP链分析<\/h2>
1. 寻找destruct入口<\/h3>
在Internal\/RejectedPromise.php<\/code>类中发现了可利用的__destruct<\/code>入口：<\/p>
public<\/span> function<\/span> __destruct() {
<\/span><\/span>    if<\/span> ($this-><\/span>handled<\/span>) {
<\/span><\/span>        return<\/span>;
<\/span><\/span>    }
<\/span><\/span>    
<\/span><\/span>    $handler =<\/span> set_rejection_handler<\/span>(null<\/span>);
<\/span><\/span>    if<\/span> ($handler ===<\/span> null<\/span>) {
<\/span><\/span>        $message =<\/span> 'Unhandled promise rejection with '<\/span> .<\/span> $this-><\/span>reason<\/span>;
<\/span><\/span>        \error_log<\/span>($message);
<\/span><\/span>        return<\/span>;
<\/span><\/span>    }
<\/span><\/span>    
<\/span><\/span>    try<\/span> {
<\/span><\/span>        $handler($this-><\/span>reason<\/span>);
<\/span><\/span>    } catch<\/span> (\Throwable<\/span> $e) {
<\/span><\/span>        \preg_match<\/span>('\/^([^:\s]++)(.*+)$\/sm'<\/span>, (string<\/span>) $e, $match);
<\/span><\/span>        \assert<\/span>(isset<\/span>($match[1<\/span>], $match[2<\/span>]));
<\/span><\/span>        $message =<\/span> 'Fatal error: Uncaught '<\/span> .<\/span> $match[1<\/span>] .<\/span> ' from unhandled promise rejection handler'<\/span> .<\/span> $match[2<\/span>];
<\/span><\/span>        \error_log<\/span>($message);
<\/span><\/span>        exit<\/span>(255<\/span>);
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>关键点：<\/p>

$this->handled<\/code>默认为false，无需设置<\/li>
$this->reason<\/code>完全可控<\/li>
当set_rejection_handler(null)<\/code>返回null时，会触发$this->reason<\/code>的__toString<\/code>方法<\/li>
<\/ul>
2. 寻找toString方法<\/h3>
全局搜索__toString<\/code>魔术方法，发现\Ast\Type\ConstTypeNode<\/code>类：<\/p>
public<\/span> function<\/span> __toString():<\/span> string<\/span> {
<\/span><\/span>    return<\/span> $this-><\/span>constExpr<\/span>-><\/span>__toString<\/span>();
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>这里$constExpr<\/code>可控，可以触发任意对象的__toString<\/code>方法。<\/p>
3. 寻找__call方法<\/h3>
通过__toString<\/code>可以触发__call<\/code>魔术方法。在vendor\cakephp\cakephp\src\ORM\Table.php<\/code>中：<\/p>
\/\/ 只要让_behaviors属性拥有method方法就可以调用call方法
<\/span><\/span><\/span><\/code><\/pre>4. 寻找call方法调用<\/h3>
在vendor\cakephp\cakephp\src\ORM\BehaviorRegistry.php<\/code>中找到关键调用：<\/p>
public<\/span> function<\/span> call<\/span>(string<\/span> $method, array<\/span> $args =<\/span> []):<\/span> mixed<\/span> {
<\/span><\/span>    $method =<\/span> strtolower<\/span>($method);
<\/span><\/span>    if<\/span> ($this-><\/span>hasMethod<\/span>($method) &&<\/span> $this-><\/span>has<\/span>($this-><\/span>_methodMap<\/span>[$method][0<\/span>])) {
<\/span><\/span>        [$behavior, $callMethod] =<\/span> $this-><\/span>_methodMap<\/span>[$method];
<\/span><\/span>        return<\/span> $this-><\/span>_loaded<\/span>[$behavior]-><\/span>{$callMethod}(...<\/span>$args);
<\/span><\/span>    }
<\/span><\/span>    throw<\/span> new<\/span> BadMethodCallException<\/span>(
<\/span><\/span>        sprintf<\/span>('Cannot call `%s`, it does not belong to any attached behavior.'<\/span>, $method),
<\/span><\/span>    );
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>关键点：<\/p>

$this->hasMethod($method)<\/code>检查方法是否存在<\/li>
$this->has($this->_methodMap[$method][0])<\/code>检查行为是否存在<\/li>
$this->_methodMap<\/code>和$this->_loaded<\/code>属性可控<\/li>
可以动态调用任意方法<\/li>
<\/ol>
5. 寻找RCE终点<\/h3>
通过分析找到src\Framework\MockObject\Generator\MockClass<\/code>类中的generate<\/code>方法：<\/p>
\/\/ mockName需要放一个存在的类名即可进入if
<\/span><\/span><\/span>\/\/ 属性classCode可控，里面可以用php代码实现RCE
<\/span><\/span><\/span><\/code><\/pre>注意事项：<\/p>

需要寻找无参函数或有默认参数的函数<\/li>
PHP版本限制：

≥7.1.0：有参函数不能无参调用，会报Fatal error<\/li>
≤7.0.33：有参函数可以无参调用，但有警告<\/li>
<\/ul>
<\/li>
<\/ul>
第二条POP链分析<\/h2>
替代toString点<\/h3>
在src\/cakephp-5-1-4\/vendor\/cakephp\/cakephp\/src\/Http\/Response.php<\/code>中也发现了可以触发__call<\/code>方法的点。<\/p>
利用链构造<\/h2>
第一条链的EXP构造要点<\/h3>

需要实现MockType<\/code>接口<\/li>
mockName<\/code>属性需要设置为存在的类名<\/li>
classCode<\/code>属性包含PHP代码实现RCE<\/li>
<\/ol>
第二条链的POC构造<\/h3>
(原文中未提供完整POC，需要进一步分析Response.php<\/code>中的利用点)<\/p>
防御建议<\/h2>

避免反序列化不可信数据<\/li>
更新到最新版本并关注安全公告<\/li>
实现__wakeup<\/code>方法进行完整性检查<\/li>
使用类型严格比较<\/li>
<\/ol>
总结<\/h2>
本文详细分析了CakePHP 5.1.14中两条新的反序列化POP链，从__destruct<\/code>入口到RCE终点的完整调用过程。这些链利用了框架内部的行为注册机制和动态方法调用特性，展示了现代PHP框架中反序列化漏洞的复杂利用方式。<\/p>

CakePHP 5.1.14 反序列化POP链挖掘与分析<\/h1>

概述<\/h2>
本文详细分析了CakePHP 5.1.14最新版本中的两条反序列化POP(Property-Oriented Programming)链，这些链可用于实现远程代码执行(RCE)。文章包含完整的调用链分析、调试过程以及两个不同的利用链构造方法。<\/p>

背景<\/h2>
CakePHP框架在3.x和4.x版本中已知的反序列化漏洞入口点`vendor\symfony\process\Process.php<\/code>在5.1.14版本中已被修复，新增了__wakeup<\/code>方法限制，直接抛出异常阻止了旧链的利用。<\/p>`

第二条POP链分析<\/h2>

替代toString点<\/h3>
在`src\/cakephp-5-1-4\/vendor\/cakephp\/cakephp\/src\/Http\/Response.php<\/code>中也发现了可以触发__call<\/code>方法的点。<\/p>`

第二条链的POC构造<\/h3>
(原文中未提供完整POC，需要进一步分析`Response.php<\/code>中的利用点)<\/p>`

CakePHP 5.1.14 反序列化POP链挖掘与分析<\/h1>

概述<\/h2> 本文详细分析了CakePHP 5.1.14最新版本中的两条反序列化POP(Property-Oriented Programming)链，这些链可用于实现远程代码执行(RCE)。文章包含完整的调用链分析、调试过程以及两个不同的利用链构造方法。<\/p>

背景<\/h2> CakePHP框架在3.x和4.x版本中已知的反序列化漏洞入口点vendor\symfony\process\Process.php<\/code>在5.1.14版本中已被修复，新增了__wakeup<\/code>方法限制，直接抛出异常阻止了旧链的利用。<\/p>

第二条POP链分析<\/h2>

替代toString点<\/h3> 在src\/cakephp-5-1-4\/vendor\/cakephp\/cakephp\/src\/Http\/Response.php<\/code>中也发现了可以触发__call<\/code>方法的点。<\/p>

第二条链的POC构造<\/h3> (原文中未提供完整POC，需要进一步分析Response.php<\/code>中的利用点)<\/p>

概述<\/h2>
本文详细分析了CakePHP 5.1.14最新版本中的两条反序列化POP(Property-Oriented Programming)链，这些链可用于实现远程代码执行(RCE)。文章包含完整的调用链分析、调试过程以及两个不同的利用链构造方法。<\/p>

背景<\/h2>
CakePHP框架在3.x和4.x版本中已知的反序列化漏洞入口点`vendor\symfony\process\Process.php<\/code>在5.1.14版本中已被修复，新增了__wakeup<\/code>方法限制，直接抛出异常阻止了旧链的利用。<\/p>`

替代toString点<\/h3>
在`src\/cakephp-5-1-4\/vendor\/cakephp\/cakephp\/src\/Http\/Response.php<\/code>中也发现了可以触发__call<\/code>方法的点。<\/p>`

第二条链的POC构造<\/h3>
(原文中未提供完整POC，需要进一步分析`Response.php<\/code>中的利用点)<\/p>`