[ POP链 ] thinkphp_5.0.x

最新推荐文章于 2023-02-08 22:59:20 发布
最新推荐文章于 2023-02-08 22:59:20 发布
阅读量194 收藏
点赞数
分类专栏: CTF 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dannie01/article/details/120507531
版权

thinkphp_5.0.24 rce漏洞思路学习

起点:

thinkphp/library/think/process/pipes/Windows.php

removeFiles方法
在这里插入图片描述

跳板:

file_exists方法能够触发__toString魔术方法

$filename

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ulWxQWmI-1632723261067)(https://secure.wostatic.cn/static/f8ouHu3DA4hkKDE4eWABo2/image.png)]

跳板利用点:

thinkphp/library/think/Model.php

Model抽象类的 __toString

在这里插入图片描述
跟进toJson方法至toArray方法

如下图Model抽象类的toArray方法,存在三个地方可以执行__call

但是我们目的是调用Output类的__call且能够继续利用,调试后选择第三处当做调板

$item[$key] = $value ? $value->getAttr($attr) : null;

在这里插入图片描述观察第三处
$item[$key] = $value ? $value->getAttr($attr) : null;

在这里插入图片描述
溯源$values变量,比较关键是下面两行

$modelRelation = $this->$relation();
$value         = $this->getRelationData($modelRelation);

$modelRelation值可以利用Model类中的getError方法

在这里插入图片描述
跟进getRelationData方法,这里最后传入的$modelRelation需要Relation类型

最后返回值$values需要经过if语句判断

$this->parent && !$modelRelation->isSelfRelation() && get_class($modelRelation->getModel()) == get_class($this->parent)

在这里插入图片描述全局搜索下,可以利用HasOne类
最后$attr值,由$bindAttr = $modelRelation->getBindAttr();执行后的结果.

在这里插入图片描述
在这里插入图片描述至此代码执行到$item[$key] = $value ? $value->getAttr($attr) : null;就能够执行Output类__call魔术方法

在这里插入图片描述
跟进Output类block方法
在这里插入图片描述
继续跟进writelin方法,最后会调用write方法
在这里插入图片描述
这里$this->handle可控,全局搜索write方法,进一步利用

定位到:thinkphp/library/think/session/driver/Memcached.php

类: Memcached

在这里插入图片描述
继续搜索可用set方法

定位到:thinkphp/library/think/cache/driver/File.php
类:File

最后可以直接执行file_put_contents方法写入shell

在这里插入图片描述
$filename可控且可以利用伪协议绕过exit
在这里插入图片描述

$data值比较棘手,这里有个坑,由于最后调用set方法中的参数来自先前调用的write方法

只能为true,且这里$expire只能为数值,这样文件内容就无法写shell

在这里插入图片描述继续执行,跟进下方的setTagItem方法

在这里插入图片描述
会再执行一次set方法,且这里文件内容$value通过$name赋值(文件名)

所以可以在文件名上做手脚

示例:php://filter/write=string.rot13/resource=./<?cuc cucvasb();?>

在这里插入图片描述
POP链:
在这里插入图片描述

来源: https://www.anquanke.com/post/id/196364

J1A
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ThinkPhp5.0
php_younger的博客
02-23 719
1、引入公共文件 {include file=”public/header” /} 2、缓存cache 1)在配置文件中,添加 ‘cache’ => [ ‘type’ => ‘File’, //类型 ‘path’ => CACHE_PATH, //缓存路径 ‘prefix’ => ‘’, //缓存前缀 ‘expire’ => 0, //缓存有效时间 ], 支持的缓存类型包括
Thinkphp5.0.x_RCE复现&5.0.24反序列化大礼包
大博的博客
08-07 6425
环境部署 以TP5.0.22为例 + PHP 5.6.27-NTS + phpstorm2020.1 反序列化环境为:TP5.0.24 + PHP 5.6.27-NTS + phpstorm2020.1 漏洞成因 现在TP的RCE通常将其分成两类: Request类其中变量被覆盖导致RCE 路由控制不严谨导致可以调用任意类致使RCE 反序列化的应用(需要存在反序列化的地方) Request类其中变量被覆盖导致RCE 我们以这个POC为例,进行复现: 我们正常的代码逻辑已经简单的写在了前文,如有代码执行疑
[代码审计]ThinkPHP 5.0.x 的代码执行漏洞
姜小孩的博客
06-14 641
目录TP5中的rce都是利用了input方法如何利用此方法如何引导到这来POC:ThinkPHP 5.0-5.0.24通过URL路由分析,我们知道Thinkphp可由外界直接控制模块名、类名和其中的方法名以及参数/参数值,那么我们是不是可以将程序运行的方向引导至这里来。要调用类肯定需要先将类实例化,类的实例化首先需要获取到模块、类名,然后解析模块和类名去组成命名空间,再根据命名空间的特性去自动加载类,然后才会实例化类和调用类中的方法。我们先对比之前正常的URL试着构建下POC。 我们可以找到入口调
Thinkphp 5.0.24反序列化漏洞导致RCE分析
热门推荐
weixin_43263451的博客
03-27 1万+
1. 概述 总体思路就是先全局搜索可以利用的魔法函数作为入口,比如__destruct,然后再一步步构造pop往漏洞触发点跳 根据大佬的指点漏洞触发点在thinkphp/library/think/console/Output.php的__call方法 public function __call($method, $args) { if (in_array($method, $this->styles)) { array_unshift($args,
Thinkphp5.0.24 pop子学习
akxnxbshai的博客
10-20 1478
认真学一下代码审计,从thinkphp历史漏洞开始。
php反序列化漏洞之pop
最新发布
weixin_60719780的博客
02-08 1891
常用于上层语言构造特定调用的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。把魔术方法作为最开始的小组件,然后在魔术方法中调用其他函数(小组件),通过寻找相同名字的函数,再与
pop php,ThinkPHP 6.x反序列化POP(二)
weixin_39906192的博客
04-01 283
环境准备安装ThinkPHP 6.0composer create-project topthink/think=6.0.x-dev v6.0修改application/index/controller/Index.phpIndex类的代码class Index{public function index(){$payload = unserialize(base64_decode($_GET['...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE)漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE)漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
ThinkPHP_core.zip_Thinkphp_core
09-24
ThinkPHP Core中,Model负责处理数据和业务逻辑,View负责展示用户界面,而Controller作为中间层协调这两者,实现了数据与展示的解耦。 其次,ThinkPHP Core提供了丰富的内置函数和类库,如数据库操作、模板引擎...
ThinkPHP_Repaire.zip
05-15
由于ThinkPHP 3.1是针对PHP 5.x设计的,而PHP 7.3引入了许多新特性并提升了性能,因此升级过程中需要对代码进行相应的调整。下面将详细介绍在迁移过程中可能遇到的关键知识点。 1. **PHP 7.3的新特性**: PHP 7.3...
ThinkPHP_3.2.zip_thinkPHP3.2_thinkphp3.2..3
09-14
《深入理解ThinkPHP3.2框架》 ThinkPHP,作为国内广泛应用的PHP开发框架,以其简洁、高效和易用性赢得了开发者们的喜爱。本篇将详细介绍ThinkPHP3.2版本,该版本在2013年12月31日进行了更新,其环境要求为PHP5.3及...
Thinkphp_3.1.2.zip
08-06
作者Thinkphp_3.1.2框架讲解中用到的环境,希望对你有帮助哦! 里面含有如下文件: ThinkPHP_3.1.2_云引擎版本 ThinkPHP3.1.2_核心包 ThinkPHP3.1.2_扩展包 ThinkPHP3.1.2_示例包 wampserver2.2e-...
ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞
Ambulong的博客
12-11 5497
ThinkPHP官方2018年12月9日发布重要的安全更新,修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞,受影响的版本包括5.0和5.1版本,推荐尽快更新到最新版本。 在线环境地址:https://www.vulnspy.com/cn-thinkphp-5.x-rce/ 执行phpi...
ThinkPHP 小于5.0.24 远程代码执行高危漏洞 修复方案
danson_yang的专栏
01-18 2289
漏洞描述 由于ThinkPHP5.0框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell。 漏洞评级 严重 影响版本 ThinkPHP 5.0系列 &lt; 5.0.24 安全版本 ThinkPHP 5.0系列 5.0.24 ThinkPHP 5.1系列 5.1.31 安全建议 升级ThinkPHP至安全版本 修复方法1.打开 \think...
php嵌套序列化输出tp5.0,ThinkPHP v5.0.x 反序列化利用挖掘
weixin_31208627的博客
03-19 177
前言前几天审计某cms基于ThinkPHP5.0.24开发,反序列化没有可以较好的利用,这里分享下挖掘ThinkPHP5.0.24反序列化利用过程.该POP实现任意文件内容写入,达到getshell的目的环境搭建Debianapache2+mysql+ThinkPHP5.0.24+php5.6文件:application/index/controller/Index.phpnamespace ...
PHP反序列化--简单ctf题--popthinkphp5.1.X)漏洞复现
cainiao17441898的博客
07-07 4506
前言: PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法,这些都是PHP内置的方法。 __construct 当一个对象创建时被调用 __destruct 当一个对象销毁时被调用 __wakeup() 使用unserialize时触发 __sleep() 使用serialize时触发 __call() 在对象上下文中调用不可访问的方法时触发 __callStatic() 在静态上下文中调用不可访问的方法时触发 __get() 用于从不可访问的属性读取数据 __set() 用于将数据写入不可访
浅谈ThinkPH5.0和5.1的反序列化利用分析
kali_Ma的博客
01-04 1158
前言 本文将总结分析ThinkPHP5.0和5.1中的反序列化利用,一方面以备不时之需,另一方面算是对php反序列化的深入学习。 其中TP5.0的利用会复杂很多,所以本文会先介绍TP5.1的利用。本文主要分析的代码是ThinkPHP5.0.24和ThinkPHP5.1.41,分别是ThinkPHP5.0和5.1的最终版本 代码分析 该条pop入口在think\process\pipes\Windows类中,利用__destruct()触发 在file_exists($filename)时,可触发__
Thinkphp5-0-X远程代码执行漏洞
qq_40624810的博客
11-09 880
参考博客:https://www.cnblogs.com/303donatello/p/12721587.html https://blog.csdn.net/qq_45521281/article/details/105907276 其实后面的&test=-1参数没有意义,只要有captcha就行 在post里加上我们要提交的参数 _method=__construct&filter[]=phpinfo&method=GET 提交...
Thinkphp 反序列化利用深入分析
晓得哥的博客
09-29 706
作者:Ethan@知道创宇404实验室 时间:2019年9月21日 前言 今年7月份,ThinkPHP 5.1.x爆出来了一个反序列化漏洞。之前没有分析过关于ThinkPHP的反序列化漏洞。今天就探讨一下ThinkPHP的反序列化问题! 环境搭建 Thinkphp 5.1.35 php 7.0.12 漏洞挖掘思路 在刚接触反序列化漏洞的时候,更多遇到的是在魔术方法中,因此自动调用魔术方法而触发漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值