CakePHP 新版 RCE 调用链分析与利用<\/h1>

前言<\/h2>
本文详细分析 CakePHP 框架中反序列化漏洞的利用链构造方法，涵盖 3.x、4.x 和 5.x 版本的 RCE (远程代码执行) 漏洞利用技术。通过分析历史版本利用链，我们可以理解新版本漏洞的发现思路。<\/p>

环境搭建<\/h2>

使用小皮面板快速搭建测试环境<\/li>

对于 5.1.4 版本，需要根据提供的 Dockerfile 替换相应文件<\/li> <\/ul>

老版本利用链分析<\/h2>

3.x ≤ 3.9.6 版本<\/h3>

调用链分析<\/h4>

入口点<\/strong>: Process<\/code> 类的 __destruct<\/code> 方法<\/p>

public<\/span> function<\/span> __destruct(){
<\/span><\/span>    if<\/span> ($this-><\/span>options<\/span>['create_new_console'<\/span>] ??<\/span> false<\/span>) {
<\/span><\/span>        $this-><\/span>processPipes<\/span>-><\/span>close<\/span>();
<\/span><\/span>    } else<\/span> {
<\/span><\/span>        $this-><\/span>stop<\/span>(0<\/span>);
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>

调用链流转<\/strong>:<\/p>

进入 stop<\/code> 方法<\/li>
调用 isRunning<\/code> 方法<\/li>
进入 updateStatus<\/code> 方法<\/li>
调用 readPipes<\/code> 方法<\/li>
<\/ul>
<\/li>

关键调用点<\/strong>:<\/p>
private<\/span> function<\/span> readPipes<\/span>(bool<\/span> $blocking, bool<\/span> $close){
<\/span><\/span>    $result =<\/span> $this-><\/span>processPipes<\/span>-><\/span>readAndWrite<\/span>($blocking, $close);
<\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>
processPipes<\/code> 可控，可调用任意类的 readAndWrite<\/code> 方法<\/li>
<\/ul>
<\/li>

寻找可利用的类<\/strong>:<\/p>

Table<\/code> 类的 __call<\/code> 方法:
public<\/span> function<\/span> __call($method, $args){
<\/span><\/span>    if<\/span> ($this-><\/span>_behaviors<\/span> &&<\/span> $this-><\/span>_behaviors<\/span>-><\/span>hasMethod<\/span>($method)) {
<\/span><\/span>        return<\/span> $this-><\/span>_behaviors<\/span>-><\/span>call<\/span>($method, $args);
<\/span><\/span>    }
<\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
BehaviorRegistry<\/code> 类的 call<\/code> 方法:
public<\/span> function<\/span> call<\/span>($method, array<\/span> $args =<\/span> []){
<\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>    return<\/span> call_user_func_array<\/span>([$this-><\/span>_loaded<\/span>[$behavior], $callMethod], $args);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>

最终利用点<\/strong>:<\/p>

ServerShell<\/code> 类的 main<\/code> 方法:
public<\/span> function<\/span> main<\/span>(){
<\/span><\/span>    $command =<\/span> sprintf<\/span>('php -S %s:%d -t %s'<\/span>, $this-><\/span>_host<\/span>, $this-><\/span>_port<\/span>, escapeshellarg<\/span>($this-><\/span>_documentRoot<\/span>));
<\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>    system<\/span>($command);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
通过控制 _host<\/code>、_port<\/code> 和 _documentRoot<\/code> 参数实现命令注入<\/li>
<\/ul>
<\/li>
<\/ol>
4.x ≤ 4.2.3 版本<\/h3>

主要变化是 ServerShell<\/code> 类被修改<\/li>
新利用点: CallbackStatement<\/code> 类

可以调用任意的 fetch<\/code> 方法<\/li>
<\/ul>
<\/li>
使用 BufferedStatement<\/code> 类:

$this->buffer<\/code>、$this->index<\/code>、$this->_allFetched<\/code> 可控<\/li>
$row<\/code> 参数可控<\/li>
<\/ul>
<\/li>
<\/ul>
SUCTF 新版本 (5.1.4)<\/h2>
调用链分析<\/h3>


新入口点<\/strong>: RejectedPromise<\/code> 类的 __destruct<\/code> 方法<\/p>

进行字符串拼接，触发 __toString<\/code> 方法<\/li>
<\/ul>
<\/li>

中间转换点<\/strong>: Cake\Http\Response<\/code> 类<\/p>

作为中间点触发 __call<\/code> 方法<\/li>
<\/ul>
<\/li>

利用 Table<\/code> 类的 __call<\/code> 方法<\/strong>:<\/p>

与老版本相同，调用 BehaviorRegistry<\/code> 的 call<\/code> 方法<\/li>
<\/ul>
<\/li>

最终利用点<\/strong>: MockClass<\/code> 类<\/p>

通过控制 MockClass<\/code> 执行任意命令<\/li>
<\/ul>
<\/li>
<\/ol>
POC 构造要点<\/h3>

控制 RejectedPromise<\/code> 的 reason<\/code> 属性指向 Response<\/code> 对象<\/li>
Response<\/code> 对象触发 __toString<\/code><\/li>
通过 Table<\/code> 和 BehaviorRegistry<\/code> 的调用链<\/li>
最终到达 MockClass<\/code> 执行命令<\/li>
<\/ol>
总结<\/h2>
CakePHP 反序列化漏洞利用的关键点：<\/p>

寻找合适的入口点 (__destruct<\/code> 或 __wakeup<\/code>)<\/li>
分析调用链流转过程<\/li>
识别可控参数的关键类和方法<\/li>
构造从入口点到最终执行点的完整调用链<\/li>
针对不同版本调整利用点<\/li>
<\/ol>
新版本漏洞通常是对老版本调用链的修改或阻断，通过分析历史版本利用链可以更快地发现新版本的利用方法。<\/p>

CakePHP 新版 RCE 调用链分析与利用<\/h1>

前言<\/h2> 本文详细分析 CakePHP 框架中反序列化漏洞的利用链构造方法，涵盖 3.x、4.x 和 5.x 版本的 RCE (远程代码执行) 漏洞利用技术。通过分析历史版本利用链，我们可以理解新版本漏洞的发现思路。<\/p>

老版本利用链分析<\/h2>

3.x ≤ 3.9.6 版本<\/h3>

SUCTF 新版本 (5.1.4)<\/h2>

前言<\/h2>
本文详细分析 CakePHP 框架中反序列化漏洞的利用链构造方法，涵盖 3.x、4.x 和 5.x 版本的 RCE (远程代码执行) 漏洞利用技术。通过分析历史版本利用链，我们可以理解新版本漏洞的发现思路。<\/p>