Nuclei Templates项目中的UNA CMS反序列化问题检测模板分析

问题背景

UNA CMS是一款流行的内容管理系统，在其14.0.0-RC4及更早版本中存在一个严重的PHP对象处理问题。该问题位于/template/scripts/BxBaseMenuSetAclLevel.php脚本中，具体问题出在BxBaseMenuSetAclLevel::getCode()方法内。当调用此方法时，通过"profile_id"POST参数传递的用户输入在传递给PHP的unserialize()函数前未经过适当处理，导致远程用户能够注入特定PHP对象。

问题原理

这个问题属于典型的PHP反序列化问题。用户可以构造特殊的序列化数据，当这些数据被unserialize()函数处理时，会实例化用户控制的类对象。在UNA CMS的案例中，用户可以利用GuzzleHttp库中的FileCookieJar和SetCookie类来写入特定文件内容。

检测方法

Nuclei模板采用了分两步验证的方式来检测此问题：

1. 问题触发阶段：向/menu.php发送POST请求，在profile_id参数中注入精心构造的序列化数据。这个数据会：

   • 创建一个FileCookieJar对象
   • 设置目标文件路径为./cache_public/[随机文件名].txt
   • 包含一个SetCookie对象，其Value属性设置为"TESTSTRING"

2. 结果验证阶段：尝试访问被写入的文件，检查其中是否包含预期的"TESTSTRING"字符串，同时验证响应内容类型是否为text/plain。

模板优化点

原始模板存在一些可以改进的地方：

1. 文件名随机化：使用{{rand_base(6)}}变量确保每次检测生成不同的文件名，避免干扰
2. 条件匹配：同时检查响应内容和Content-Type，提高准确性
3. 请求控制：将最大请求数限制为2次(一次注入，一次验证)，减少对目标系统的影响
4. 版本描述：明确标注影响版本为"<=14.0.0-RC4"，帮助用户准确评估风险

技术细节

这个问题利用的关键在于构造有效的POP链(Property-Oriented Programming chain)。在PHP反序列化问题中，POP链是指一系列对象属性和方法的组合，用户通过精心设计这些组合来实现特定文件操作。

在本案例中，POP链利用了GuzzleHttp库中的两个类：

1. FileCookieJar：负责文件操作
2. SetCookie：负责设置cookie数据

通过控制FileCookieJar的filename属性，用户可以指定写入位置；而通过SetCookie的Value属性，则可以控制写入内容。这种技术不依赖于特定web服务器，具有很好的通用性。

防护建议

对于使用UNA CMS的用户，建议：

1. 立即升级到最新版本
2. 如果不能立即升级，应考虑禁用相关功能或添加输入过滤
3. 定期检查服务器上是否出现异常文件

对于开发者而言，这个案例再次提醒我们：

1. 谨慎处理不可信数据
2. 使用安全的替代方案，如JSON
3. 对用户输入进行严格验证和过滤

这个Nuclei模板为安全团队提供了一种高效、准确的检测方法，有助于及时发现和修复这一重要问题。