浅析安全反序列化漏洞

最新推荐文章于 2024-08-01 20:43:19 发布
原创 最新推荐文章于 2024-08-01 20:43:19 发布 · 1.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全 #信息安全 #渗透测试 #安全漏洞

一、概述

对于这个漏洞的学习,有几个大体的思路,一是向大佬学习;二是找到可以利用的点,再不断构造合理的对象向这个点靠近;三是把几个子链分别构造好再连起来。

另外,查到的资料说这个漏洞并不是适用于所有的TP5.0.X版本,这里为了不产生歧义,只记成TP5.0.24版本。

二、分析

(一)环境搭建

Windows、PHPStudy(PHP5.6)、ThinkPHP5.0.24;

首先安装此版本的ThinkPHP,

composer create-project topthink/think tp 5.0.24

index controller改为

class Index
{
    public function index()
    {
        @unserialize($_GET['k']);
    }
}

调用栈如下,

File.php:160, think\cache\driver\File->set()
Memcache.php:94, think\session\driver\Memcache->write()
Output.php:154, think\console\Output->write()
Output.php:143, think\console\Output->writeln()
Output.php:124, think\console\Output->block()
Output.php:212, call_user_func_array()
Output.php:212, think\console\Output->__call()
Model.php:912, think\console\Output->getAttr()
Model.php:912, think\Model->toArray()
Model.php:936, think\Model->toJson()
Model.php:2267, think\Model->__toString()
Windows.php:163, file_exists()
Windows.php:163, think\process\pipes\Windows->removeFiles()
Windows.php:59, think\process\pipes\Windows->__destruct()
App.php:8, app\index\controller\Index->index()

(二)分析与调试

分为几个部分进行分析。

1.从Windows.removeFiles()到Model.toArray()

从Windows的__destruct开始看,

image.png

【一>所有资源获取<一】
1、电子书籍(白帽子)
2、安全大厂内部视频
3、100份src文档
4、常见安全面试题
5、ctf大赛经典题目解析
6、全套工具包
7、应急响应笔记
8、网络安全学习路线

close()中没有可以直接使用的点,removeFiless()中有file_exists()的判断,如果file_exists()的参数是一个对象,则会调用其对应类的__toString()方法,

image.png

think\Model中有很好的__toString()方法,其中调用了toJson,toJson中调用了toArray。

image.png

这里需要注意,Model是个抽象类,没法直接从抽象类创建对象,它的意义在于被扩展,

image.png

经过搜索,可以选择Pivot与Merge两个类作为具体实现,选择哪一个对主干不会产生太大影响,但会对PoC的写法产生细微差别(个别字段的public与private属性),这里先选择Merge。

进入Model.toArray之后,就该考虑如何进一步调用到Output.__call()

2.从Model.toArray到Output.__call()

从Model的toArray中,我们可以看到有若干个疑似可以利用的点,选择不同的触发点会对整个流程产生一定影响。此处选择$item[$key] = $value ? $value->getAttr($attr) : null;这一点。

image.png

接下来遇到一个很现实的问题,就是找到了这个点之后,怎么在$value有意义的前提下,保证程序可以在前面的若干行代码中不出错,进而顺利正常抵达这里。

(1)进入else

首先最高级的if和内部的大else前面的if和elseif较为直接,要求如下: t h i s − > a p p e n d 不 为 空 , this->append不为空, this>appendname不可为数组, n a m e 不 可 包 含 “ . ” 。 这 里 是 遍 历 name不可包含“.”。这里是遍历 name.this->append数组,而这个数组是我们可控的,则对应的 k e y 和 key和 keyname也都可控,故这里可以较为容易的走过。这一部分可以简单走过,重要的是else之中的隐藏的阻碍。

(2)parseName与进入if (method_exists($this, $relation))

首先跟进看Loader::parseName($name, 1, false);

image.png

功能是字符串命名风格转换,应该来讲没什么影响, r e l a t i o n 应 该 可 以 和 relation应该可以和 relationname直接划等号。

接下来看如何使method_exists($this, r e l a t i o n ) 这 一 条 件 为 t r u e , 这 要 求 我 们 找 一 个 M o d e l 或 其 子 类 中 存 在 的 方 法 名 , 由 此 可 见 , 上 一 小 步 中 的 relation)这一条件为true,这要求我们找一个Model或其子类中存在的方法名,由此可见,上一小步中的 relation)trueModelthis->append不能随意构造,应该放入一个合适的方法名。

(3)getRelationData

image

可以看到,在判断 t h i s 中 定 义 了 this中定义了 t

最低0.47元/天 解锁文章
kali_Ma
关注
Thinkphp5 RCE漏洞
Sentiment的博客
05-21 7765
影响版本 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 不同版本payload不同,且5.13版本后还与debug模式有关 这里跟着feng师傅复现的,所以用的也是5.0.22 ThinkPHP5.0.22完整版 - ThinkPHP框架 5.0.22debug模式RCE 这波属实下饭了,开启debug模式后payload一直没打通,后来发现改成其他版本的配置文件了.........
TP 5.0.24反序列化漏洞分析
goddemon
10-20 8527
很久没发过文章了,最近在研究审计链条相关的东西,codeql,ast,以及一些java的东西很多东西还是没学明白就先不写出来丢人了,写这篇tp的原因呢虽然这个漏洞的分析文章蛮多了,但是还是跟着看了下,一方面是因为以前对pop链挖掘一直学的懵懵懂懂的 ctf的一些pop链能出,但是到了框架里面自己就是挖不出来,所以就想着自己挖下tp反序列化的链子来看看,另一方面是想思考学习下php挖掘利用ast手法去该怎么入手(虽然后面这个问题还没解决),所以就有了这篇文章。
浅谈 filter伪协议的特性
qq_64201116的博客
07-22 3398
对我来说,我以前对filter伪协议不甚了解,这次接触了这一题,就得主动去更加深入地了解一下filter伪协议了。以前呢就知道php//filter/read=convert.base64-encode/resource=[文件名]这干瘪瘪的一套,用就完了,现在看来深入了解是很有必要的。......
JAVA反序列化安全实例解析
u011393781的博客
11-04 1139
什么是序列化 序列化 (Serialization)是指将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 简单来说: 序列化: 将数据结构或对象转换成二进制串的过程。 反序列化:将在序列化过程中所生成的二进制串转换成数据结构
【kali靶机之serial】--反序列化漏洞实操
最新发布
weixin_57240513的博客
08-01 855
使用kali扫描网关的主机。扫到一个开放了80端口HTTP协议的主机ip。
深入浅析PHP的session反序列化漏洞问题
10-19
PHP的Session反序列化漏洞问题,主要是因为不当的Session使用和不安全反序列化操作,可能造成未授权访问、数据泄露甚至远程代码执行等安全风险。 首先,了解PHP的Session管理机制是非常重要的。在php.ini配置文件...
JAVA反序列化漏洞浅析
Hello World.c
02-17 1322
JAVA反序列化漏洞浅析 文章内容相关的POC已经上传至gitee需要自取 GITEE地址 工具 ysoserial 自动生成多种不同payload工具 src: https://github.com/frohoff/ysoserial jar: https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar DeserializeExploit 一键自动攻击工具 jar:https:
Fastjson反序列化高危漏洞系列-part2:1.2.68反序列化漏洞及利用链分析 (上)
mole_exp的博客
01-17 4218
文章目录前言 前言 本文是对fastjson高危漏洞的一次整理,包括漏洞调试、PoC构造和补丁分析。 上一篇传送门:Fastjson反序列化高危漏洞系列-part1:1.2.x — 1.2.47
反序列化漏洞原理详解
kali_Ma的博客
12-18 2892
Apache shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 本文针对Shiro进行了一个原理性的讲解,从源码层面来分析了Shiro的认证和授权的整个流程,并在认证与授权的这个流程讲解冲,穿插说明rememberme的作用,以及为何该字段会导致反序列化漏洞。 Apache shiro认证 在该小节中我们将会详细讲解Shiro是
漏洞挖掘:一次反序列化漏洞学习
kali_Ma的博客
09-22 1203
0x01 漏洞背景 该漏洞使用了在当时为新型技术的rmi反序列化漏洞绕过了之前的修补补丁 。适用版本包括了10.3.6.0、12.1.3.0、12.2.1.0以及12.2.1.1等多个版本。将从环境搭建、漏洞补丁分析、绕过方法思考、payload构建等多个方面进行研究,尽可能的将一些坑点和知识点摸排清楚,从0到1学习weblogic反序列化。 0x02 环境搭建及补丁安装 2021最新整理网络安全/渗透测试/安全学习/100份src技术文档(全套视频、大厂面经、精品手册、必备工具包、路线)一>点我&l
base64 转文件_PHP伪协议与文件包含
weixin_40003780的博客
11-27 1525
PHP伪协议与文件包含PHP伪协议与文件包含php:// 协议php://inputphp://filterdata:// 协议file:// 协议zip://、bzip2://、zlib://协议zip://协议bzip2://协议zlib://协议phar://伪协议文件包含漏洞(File Inclusion)文件包含漏洞:即file inclusion,意思是文件包含,是指当服务器...
php伪协议语法,php文件包含漏洞(input与filter)
weixin_39881167的博客
03-10 1759
php://inputphp://input可以读取没有处理过的POST数据。相较于$HTTP_RAW_POST_DATA而言,它给内存带来的压力较小,并且不需要特殊的php.ini设置。php://input不能用于enctype=multipart/form-data。php://filter协议协议语法:php://filter:/=php://filter 的 参数列表read      ...
ThinkPHP 系列漏洞
SHELLCODE_8BIT的博客
11-18 4727
所有 sql 注入漏洞均在 library/think/db/Builder.php 文件中。1、thinkphp5 SQL注入1漏洞影响版本: 5.0.13
PHP伪协议filter详解,php://filter协议过滤器
wangyuxiang946的博客
06-12 1万+
PHP://filter协议 PHP filter 过滤器
base64_encode()和base64_decode(),URL的加密解密详解
wangxuanyang_zer的博客
10-18 1万+
和是两个 PHP 函数,用于将数据在二进制和文本之间进行相互转换,而不是用于加密和解密。它们的主要目的是将二进制数据转换为文本格式,以便在文本传输中安全地传递二进制数据,例如在 URL 中传递参数、在 XML 或 JSON 中嵌入二进制数据,或在电子邮件中传输二进制附件。函数将二进制数据编码为Base64格式。2.它接受一个包含二进制数据的字符串作为输入,并返回一个Base64编码的字符串。
thinkphp5框架漏洞
m0_74196038的博客
03-07 1894
ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的这个poc是通过post方法提交的,然后url当中还是要提交?s=captcha特殊url编码之后的POC。
thinkphp5 漏洞原理分析合集
m0_46689007的博客
11-30 8060
跟进Request.php中method(),Config::get(‘var_method’)提权var_method中的值,var_method的又为_method,这个_method可控,我们传入’__construct’,到$this->{$this->method}($_POST);因为执行的是get方法,跟进get()方法,此方法为读取配置文件,所以我们构造的参数进入get()中就会控制读取内容,后面返回self::$config[$range][$name[0]][$name[1]]。
详解php://filter以及死亡绕过
热门推荐
woshilnp的博客
05-25 1万+
详解php://filter以及死亡绕过 php://filter PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。 php:// — 访问各个输入/输出流(I/O streams) php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_ge
[复现]Thinkphp5系列漏洞
kuuhh的博客
08-05 7561
SQL注入 parseData方法 本次漏洞存在于 Builder 类的 parseData 方法中。由于程序没有对数据进行很好的过滤,将数据拼接进 SQL 语句,导致 SQL注入漏洞 的产生。漏洞影响版本: 5.0.13<=ThinkPHP<=5.0.15 、 5.1.0<=ThinkPHP<=5.1.5 。 测试代码,我这里用的版本是 ThinkPHP 5.0.15 public function index() { update / insert 方法
深入理解FastJson反序列化漏洞利用
本资源“FastJsonPoc.zip”旨在详细展示如何利用fastjson框架的反序列化漏洞,适合安全研究人员和开发人员深入了解和学习fastjson的安全问题。 知识点一:FastJson框架概述 FastJson是由阿里巴巴开源的Java库,它...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值